Присоединяйтесь!
Зарегистрированных пользователей портала: 506 361. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. МЕТОДОЛОГИЯ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ГОСТ Р ИСО/МЭК 18045-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 522-ст)

Дата документа18.12.2008
Статус документаДействует
МеткиСтандарт · Приказ · Гост · Гост р · Исо/мэк

    

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

Информационная технология

 

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

 

Методология оценки безопасности информационных технологий

 

Information technology. Security techniques. Methodology for IT security evaluation

 

ГОСТ Р ИСО/МЭК 18045-2008

 

Дата введения 2009-10-01

 

Предисловие

 
    Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"
 

Сведения о стандарте

 
    1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ"), Федеральным государственным учреждением "4 Центральный научно-исследовательский институт Министерства обороны России" (ФГУ "4 ЦНИИ Минобороны России"), Федеральным государственным унитарным предприятием "Научно-технический и сертификационный центр по комплексной защите информации" (ФГУП Центр "Атомзащитаинформ"), Федеральным государственным унитарным предприятием "Центральный научно-исследовательский институт управления, экономики и информации Росатома" (ФГУП "ЦНИИАТОМИНФОРМ") при участии экспертов Международной рабочей группы по Общим критериям на основе собственного аутентичного перевода стандарта, указанного в пункте 4
    2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"
    3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 522-ст
    4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 18045:2005 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий" (ISO/IEC 18045:2005 "Information technology - Security techniques - Methodology for IT security evaluation").
    При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении В
    5 ВВЕДЕН ВПЕРВЫЕ
 

Введение

 
    Международный стандарт ИСО/МЭК 18045:2005 подготовлен Совместным техническим комитетом ИСО/МЭК СТК 1 "Информационные технологии", Подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ". Идентичный ИСО/МЭК 18045:2005 текст опубликован организациями-спонсорами проекта "Общие критерии" как "Общая методология оценки безопасности информационных технологий", версия 2.3 (ОМО, версия 2.3).
    Методология оценки безопасности информационных технологий (ИТ), представленная в настоящем стандарте, идентичном ИСО/МЭК 18045:2005, ограничена оценками для оценочных уровней доверия (ОУД) ОУД1-ОУД4, определенных в ИСО/МЭК 15408:2005. Это не обеспечивает руководство для оценки по ОУД 5-7, а также для оценок, использующих другие пакеты доверия.
    Потенциальные пользователи настоящего стандарта - прежде всего оценщики, применяющие ИСО/МЭК 15408, и органы по сертификации, подтверждающие действия оценщика, заявители оценки, разработчики, авторы профилей защиты (ПЗ) и заданий по безопасности (ЗБ) и другие стороны, заинтересованные в безопасности ИТ.
    Настоящим стандартом признано, что не на все вопросы оценки безопасности ИТ можно найти в нем ответы и что дальнейшие интерпретации будут необходимы. В конкретных системах оценки должно быть решено, как обращаться с такими интерпретациями, хотя они могут быть подчинены соглашениям о взаимном признании. Список связанных с методологией вопросов, которые могут быть определены в конкретной системе оценки, приведен в приложении А.
 

1 Область применения

 
    Настоящий стандарт - нормативный документ, применяемый совместно с ИСО/МЭК 15408. Настоящий стандарт описывает минимум действий, выполняемых оценщиком при проведении оценки безопасности информационных технологий (ИТ) по ИСО/МЭК 15408 с использованием критериев и свидетельств оценки, определенных в ИСО/МЭК 15408.
 

2 Нормативные ссылки

 
    В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты:
    ИСО/МЭК 15408-1:2005 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 1. Введение и общая модель
    ИСО/МЭК 15408-2:2005 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 2. Функциональные требования безопасности
    ИСО/МЭК 15408-3:2005 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 3. Требования к обеспечению защиты
    ИСО 9000:2000 Системы менеджмента качества. Основные положения и словарь
 

3 Термины и определения

 
    В настоящем стандарте применены следующие термины с соответствующими определениями:
    Примечание - Для терминов, выделенных в тексте определений полужирным шрифтом, в настоящем разделе даны собственные определения.
    3.1 действие (action): Элемент действий оценщика по ИСО/МЭК 15408-3. Эти действия или сформулированы в явном виде как действия оценщика, или неявно следуют из действий разработчика (подразумеваемые действия оценщика) в рамках компонентов доверия ИСО/МЭК 15408-3.
    3.2 вид деятельности (activity): Применение класса доверия по ИСО/МЭК 15408-3.
    3.3 проверить (check): Вынести вердикт посредством простого сравнения, при этом специальные знания и опыт оценщика не требуются. В формулировке, в которой используется этот глагол, должно быть описано то, что подлежит сравнению.
    3.4 поставка для оценки (evaluation deliverable): Любой ресурс, который оценщик или орган оценки требует от заявителя или разработчика для выполнения одного или нескольких видов деятельности по проведению оценки или по надзору за оценкой.
    3.5 свидетельство оценки (evaluation evidence): Фактическая поставка для оценки.
    3.6 технический отчет об оценке (evaluation technical report): Отчет, выпущенный оценщиком, представленный в орган оценки и содержащий общий вердикт и его логическое обоснование.
    3.7 исследовать (examine): Вынести вердикт на основе анализа с использованием специальных знаний и опыта оценщика. Формулировка, в которой используется этот глагол, указывает на то, что конкретно и какие свойства должны быть подвергнуты анализу.
    3.8 интерпретация (interpretation): Разъяснение или расширение требования ИСО/МЭК 15408, настоящего стандарта или системы оценки.
    3.9 методология (methodology): Система принципов, процедур и процессов, применяемых для оценки безопасности информационных технологий.
    3.10 сообщение о проблеме (observation report): Сообщение, документально оформленное оценщиком, в котором он просит разъяснений или указывает на возникшую при оценке проблему.
    3.11 общий вердикт (overall verdict): Положительный или отрицательный вывод оценщика по результатам оценки.
    3.12 вердикт органа оценки (oversight verdict): Вывод органа оценки, подтверждающий или отклоняющий общий вердикт, который основан на результатах деятельности по надзору за оценкой.
    3.13 зафиксировать (record): Сохранить в документальной форме описания процедур, событий, данных наблюдений, предположений и результатов на уровне детализации, достаточном для обеспечения воспроизведения в будущем процесса выполнения оценки.
    3.14 привести в отчете (сообщении) (report): Включить результаты оценки и вспомогательные материалы в технический отчет об оценке или в сообщение о проблеме.
    3.15 система оценки (scheme): Совокупность правил, установленных органом оценки и определяющих среду оценки, включая критерии и методологию, требуемые для проведения оценки безопасности информационных технологий.
    3.16 подвид деятельности (sub-activity): Применение компонента доверия ИСО/МЭК 15408-3. Семейства доверия прямо не рассматриваются в настоящем стандарте, поскольку при проведении оценки всегда используется только один компонент доверия из применяемого семейства.
    3.17 прослеживание (tracing): Однонаправленная связь между двумя совокупностями сущностей, которая показывает, какие сущности в первой совокупности каким сущностям из второй соответствуют.
    3.18 вердикт (verdict): Вывод оценщика (положительный, отрицательный или неокончательный) применительно к некоторому элементу действий оценщика, компоненту или классу доверия из ИСО/МЭК 15408. См. также общий вердикт.
    3.19 шаг оценивания (work unit): Наименьшая структурная единица работ по оценке. Каждое действие в методологии оценки включает в себя один или несколько шагов оценивания, которые сгруппированы в пределах действия методологии оценки применительно к элементам содержания и представления свидетельств или элементам действий разработчика ИСО/МЭК 15408-3. Шаги оценивания представлены в настоящем стандарте в том же порядке, что и элементы ИСО/МЭК 15408-3, из которых они следуют. Шаги оценивания идентифицированы условным обозначением типа 4:АLС_ТАТ.1-2. В этом обозначении первая цифра (4) указывает на оценочный уровень доверия (ОУД), последовательность символов АLС_ТАТ.1 указывает на компонент ИСО/МЭК 15408-3 (т.е. на подвид деятельности из настоящего стандарта), а завершающая цифра (2) указывает, что это второй шаг оценивания в подвиде деятельности АLС_ТАТ.1.
 

4 Обозначения и сокращения

 
    В настоящем стандарте применены следующие сокращения:
    ЗБ (ST) - задание по безопасности;
    ИТ (IТ) - информационная технология;
    ИФБО (TSFI) - интерфейс функции безопасности объекта оценки;
    ОДФ (TSC) - область действия функции безопасности объекта оценки
    ОО (TOE) - объект оценки;
    ОУД (EAL) - оценочный уровень доверия;
    ПБО (TSP) - политика безопасности объекта оценки;
    ПЗ (РР) - профиль защиты;
    ПФБ (SFP) - политика функции безопасности;
    СФБ (SOF) - стойкость функции безопасности;
    СП (OR) - сообщение о проблеме;
    TOO (ETR) - технический отчет об оценке;
    УК (CM) - управление конфигурацией;
    ФБ (SF) - функция безопасности;
    ФБО (TSF) - функции безопасности объекта оценки.
 

5 Краткий обзор

 

5.1 Структура стандарта

 
    Раздел 6 определяет соглашения, используемые в настоящем стандарте.
    В разделе 7 описаны общие задачи оценки без определения вердиктов, связанных с ними, поскольку эти задачи не отображаются на элементы действий оценщика из ИСО/МЭК 15408-3.
    Раздел 8 определяет оценку профиля защиты.
    Раздел 9 определяет оценку задания по безопасности.
    В разделах 10-13 определены минимальные усилия по оценке, необходимые для успешного выполнения оценки по ОУД1-ОУД4, и предоставлено руководство по способам и средствам выполнения оценки.
    Раздел 14 определяет виды деятельности по оценке устранения недостатков.
    Приложение А охватывает базовые методы оценки, используемые для предоставления технических свидетельств результатов оценки.
 

6 Принятые соглашения

 

6.1 Терминология

 
    В отличие от ИСО/МЭК 15408, где каждый соответствующий элемент во всех компонентах одного семейства доверия имеет один и тот же номер, указанный последней цифрой его условного обозначения, настоящий стандарт может вводить новые шаги оценивания при изменении элемента действий оценщика из ИСО/МЭК 15408 в зависимости от подвида деятельности; в результате, последняя цифра условного обозначения последующих шагов оценивания изменится, хотя шаг оценивания останется тем же самым. Например, если для ОУД4 добавлен новый шаг оценивания, помеченный 4:ADV_FSP.2-7, то номера последующих шагов оценивания подвида деятельности FSP увеличиваются на единицу. Тогда шагу оценивания 3:ADV_FSP.1-8 соответствует шаг оценивания 4:ADV_FSP.2-9, хотя каждый из указанных шагов содержит одно и то же требование, их нумерация внутри своего подвида деятельности более не совпадает.
    Любая определенная в методологии работа по оценке, которая не следует непосредственно из требований ИСО/МЭК 15408, называется задачей или подзадачей.
 

6.2 Применение глаголов

 
    Любому основному глаголу описания шага оценивания или подзадачи предшествует вспомогательный глагол "должен". Вспомогательный глагол "должен" используют при обязательности содержащего его текста и, следовательно, только в рамках шага оценивания или подзадачи. Шаги оценивания и подзадачи содержат обязательные действия, которые оценщик должен выполнить, чтобы вынести вердикт.
    Текст, сопровождающий шаги оценивания и подзадачи, содержит дальнейшие разъяснения использования формулировок ИСО/МЭК 15408 при оценке.
    Глаголы "проверить" (check), "исследовать" (examine), "привести в отчете" (report) и "зафиксировать" (record) в тексте настоящего стандарта имеют точный смысл, указанный в определениях раздела 3.
 

6.3 Общие указания по оценке

 
    Материал, который применим более чем к одному подвиду деятельности, приведен в одном месте. Указания, которые являются широко применимыми (к нескольким видам деятельности или ОУД), приведены в приложении А. Указания, относящиеся к нескольким подвидам одного вида деятельности, содержатся во вводной части описания этого вида деятельности. Если указания относятся только к одному подвиду деятельности, они содержатся только в его описании.
 

6.4 Взаимосвязь между структурами ИСО/МЭК 15408 и настоящего стандарта

 
    Имеется прямая взаимосвязь между структурой ИСО/МЭК 15408 (класс-семейство-компонент-элемент) и структурой настоящего стандарта. Рисунок 1 иллюстрирует соответствие между такими конструкциями ИСО/МЭК 15408, как классы, компоненты и элементы действий оценщика, и рассматриваемыми в методологии оценки видами деятельности, подвидами деятельности и действиями. Некоторые шаги оценивания из методологии оценки могут следовать из требований ИСО/МЭК 15408, содержащихся в элементах действий разработчика или элементах содержания и представления свидетельств.
 

 

Рисунок 1 - Соотношение структур ИСО/МЭК 15408 и настоящего стандарта

    

6.5 Вердикты оценщика

 
    Оценщик выносит вердикт относительно выполнения требований ИСО/МЭК 15408, а не требований настоящего стандарта. Наименьшая структурная единица ИСО/МЭК 15408, по которой выносят вердикт, - элемент действий оценщика (явный или подразумеваемый). Вердикт по выполняемому элементу действий оценщика из ИСО/МЭК 15408 выносят как результат выполнения соответствующего действия из методологии оценки и составляющих его шагов оценивания. В итоге результат оценки формируют в соответствии с ИСО/МЭК 15408-1 (подраздел 6.3).
    В настоящем стандарте различают три взаимоисключающих вида вердикта:
    a) условиями положительного вердикта являются завершение оценщиком элемента действий оценщика по ИСО/МЭК 15408 и определение, что при оценке требования к ПЗ, ЗБ или ОО выполнены. Для элемента действий оценщика условием положительного вердикта является успешное завершение всех шагов оценивания, составляющих соответствующее действие из методологии оценки;
    b) условием неокончательного вердикта является незавершение оценщиком одного или нескольких шагов оценивания из действия, изложенного в методологии оценки, связанного с элементом действий оценщика по ИСО/МЭК 15408;
    c) условиями отрицательного вердикта являются завершение оценщиком элемента действий оценщика из ИСО/МЭК 15408 и определение, что при оценке требования к ПЗ, ЗБ или ОО не выполнены.
    Все вердикты сначала неокончательные и остаются такими до вынесения положительного или отрицательного вердикта.
    Общий вердикт положительный тогда и только тогда, когда все составляющие вердикта положительные. В примере, показанном на рисунке 2, вердикт для одного из элементов действий оценщика отрицательный, поэтому вердикты для соответствующего компонента доверия, класса доверия и общий вердикт также отрицательные.
 

 

Рисунок 2 - Пример правила вынесения вердикта

 

7 Общие задачи оценки

 

7.1 Введение

 
    Каждый тип оценки - оценка ПЗ или оценка ОО (в том числе оценка ЗБ), включает в себя две общие задачи для оценщика: задачу получения исходных данных для оценки и задачу оформления результатов оценки. Эти две задачи, которые относятся к управлению свидетельствами оценки и созданию отчетов, описаны в настоящем разделе. Каждая из задач включает в себя связанные с ней подзадачи, которые применяются и являются нормативными для всех типов оценок по ИСО/МЭК 15408 (оценка ПЗ или оценка ОО).
    Несмотря на то, что ИСО/МЭК 15408 не предъявляет каких-либо конкретных требований к этим задачам оценки, такие требования там, где это необходимо, устанавливает настоящий стандарт. В отличие от видов деятельности, описанных в других местах настоящего стандарта, эти задачи не предполагают вынесения по ним каких-либо вердиктов, поскольку они не отображаются на элементы действий оценщика, изложенные в ИСО/МЭК 15408; их выполняют, чтобы обеспечить соответствие настоящему стандарту.
 

7.2 Задача получения исходных данных для оценки

 

7.2.1 Цели

 
    Цель этой задачи состоит в том, чтобы обеспечить оценщика корректной версией свидетельств, необходимых для оценки, и соответствующую их защиту. Иначе не могут быть гарантированы ни техническая точность оценки, ни проведение оценки способом, обеспечивающим повторяемость и воспроизводимость результатов.
 

7.2.2 Замечания по применению

 
    Ответственность за представление всех требуемых свидетельств оценки возложена на заявителя. Однако большинство свидетельств оценки, вероятно, будет создано и поставлено разработчиком от имени заявителя. Поскольку требования доверия относятся к ОО в целом, то необходимо, чтобы оценщику были доступны свидетельства оценки, относящиеся ко всем продуктам, которые являются частями ОО. Область применения и требуемое содержание такого свидетельства оценки независимы от уровня контроля разработчиком каждого из продуктов, составляющих ОО. Например, если требуется проект верхнего уровня, то требования семейства ADV_HLD "Проект верхнего уровня" относятся ко всем подсистемам, осуществляющим ФБО. Кроме того, требования доверия, согласно которым необходимо выполнение определенных процедур (например, из семейств АСМ_САР "Возможности УК" и ADO_DEL "Поставка"), также относятся к ОО в целом (включая любой продукт другого разработчика).
    Оценщику рекомендуется совместно с заявителем представить указатель требуемых свидетельств оценки. Этот указатель может являться совокупностью ссылок на документацию. В нем следует привести достаточную информацию (например, аннотацию каждого документа или, по меньшей мере, его полное наименование и перечень разделов, представляющих интерес), позволяющую оценщику легко найти требуемое свидетельство.
    Информации, содержащейся в требуемом свидетельстве оценки, не предписана какая-либо специфическая структура документирования. Свидетельство оценки для подвида деятельности может быть обеспечено несколькими отдельными документами, а один документ может удовлетворять нескольким требованиям к исходным данным для некоторого подвида деятельности.
    Оценщику требуются завершенные и официально выпущенные версии свидетельств оценки. Однако в процессе оценки в помощь оценщику могут быть представлены и предварительные материалы свидетельств, например при предварительной неформальной проверке, но не для использования в качестве основы для вердиктов. Оценщику может быть полезно ознакомиться с предварительными версиями свидетельств оценки, таких как:
    a) тестовая документация, позволяющая оценщику предварительно оценить тесты и процедуры тестирования;
    b) проектная документация, предоставляющая оценщику исходную информацию для понимания конструкции ОО;
    c) исходный код или схемы аппаратуры, позволяющие оценить применение стандартов, используемых разработчиком.
    Использование предварительных версий свидетельств оценки наиболее применимо там, где оценка ОО выполняется параллельно с его разработкой. Однако это возможно и при оценке разработанного ОО, когда разработчику приходится выполнять дополнительную работу по устранению недостатков, указанных оценщиком (например, по исправлению ошибки в проекте или в реализации), или когда требуются свидетельства для оценки безопасности, отсутствующие в имеющейся документации (например, когда ОО изначально был разработан без учета требований ИСО/МЭК 15408).
 

7.2.3 Подзадача управления свидетельством оценки

 

7.2.3.1 Контроль конфигурации

 
    Оценщик должен осуществлять контроль конфигурации свидетельства оценки.
    ИСО/МЭК 15408 подразумевает, что после получения свидетельства оценщик способен идентифицировать и локализовать каждый элемент свидетельства оценки, а также определить, находится ли в его распоряжении конкретная версия документа.
    Оценщик должен защищать свидетельство оценки от изменения или утраты, когда оно находится в его распоряжении.
 

7.2.3.2 Изъятие из использования

 
    Системы оценки могут предусматривать контроль за изъятием из использования свидетельств оценки после завершения оценки. Изъятие из использования свидетельств оценки может быть проведено посредством следующих действий:
    a) возврата свидетельств оценки;
    b) архивирования свидетельств оценки;
    c) уничтожения свидетельств оценки.
 

7.2.3.3 Конфиденциальность

 
    Во время проведения оценки оценщик может получить доступ к чувствительной коммерческой информации заявителя и разработчика (например, информации о конструкции ОО или специальных инструментальных средствах), а также к чувствительной государственной информации. Система оценки может предъявить к оценщику требования по поддержке конфиденциальности свидетельств оценки. Заявитель и оценщик могут совместно согласовать и дополнительные требования, не противоречащие системе.
    Требования конфиденциальности затрагивают многие процедуры проведения оценки, включая получение, обработку, хранение и последующее использование свидетельств оценки.
 

7.3 Задача оформления результатов оценки

 

7.3.1 Цели

 
    Цель этого подраздела состоит в описании сообщения о проблеме (СП) и технического отчета об оценке (ТОО). Системы оценки могут потребовать дополнительные сообщения (отчеты) оценщика типа сообщений (отчетов) об отдельных шагах оценивания или же представление дополнительной информации в СП и ТОО. Настоящий стандарт не препятствует включению дополнительной информации в эти сообщения (отчеты), поскольку он определяет лишь содержание минимально необходимой информации.
    Непротиворечивое представление результатов оценки облегчает достижение универсального принципа повторяемости и воспроизводимости результатов. Непротиворечивость охватывает тип и объем информации, приводимой в ТОО и СП. Ответственность за согласованность ТОО и СП, относящихся к различным оценкам, возложена на орган оценки.
    Для удовлетворения требований настоящего стандарта к содержанию информации в сообщениях (отчетах) оценщик выполняет две следующие подзадачи:
    a) подготовку СП (если это необходимо при выполнении оценки);
    b) подготовку ТОО.
 

7.3.2 Замечания по применению

 
    В настоящем стандарте требования обеспечения оценщика свидетельствами для поддержки переоценки и повторного использования в явном виде не сформулированы. Пока еще не определена информация, являющаяся результатом работы оценщика и способствующая проведению переоценки или повторного использования. Когда заявителю потребуется информация для переоценки или повторного использования, следует проконсультироваться в системе оценки, в которой была проведена оценка.
 

7.3.3 Подзадача подготовки СП

 
    СП предоставляют оценщику механизм для запроса разъяснений (например, от органа оценки о применении требований) или для определения проблемы по одному из вопросов оценки.
    При отрицательном вердикте оценщик должен представить СП для отражения результата оценки. Оценщик может также использовать СП как один из способов выражения потребности в разъяснении.
    В любом СП оценщик должен привести следующее:
    a) идентификатор оцениваемого ПЗ или ОО;
    b) задачу/подвид деятельности по оценке, при выполнении которой/которого проблема была выявлена;
    c) суть проблемы;
    d) оценку ее серьезности (например, приводит к отрицательному вердикту, задерживает выполнение оценки или требует решения до завершения оценки);
    e) наименование организации, ответственной за решение вопроса;
    f) рекомендуемые сроки решения;
    g) влияние на оценку отрицательного результата решения проблемы.
    Адресаты рассылки СП и процедуры обработки сообщения зависят от характера содержания сообщения и от конкретной системы оценки. Система оценки может различать типы СП или определять дополнительные, различающиеся по требуемой информации и рассылке (например, СП органу оценки и заявителю).
 

7.3.4 Подзадача подготовки ТОО

 

7.3.4.1 Цели

 
    Оценщик должен подготовить ТОО, чтобы представить техническое логическое обоснование вердиктов.
    ТОО может содержать информацию, являющуюся собственностью разработчика или заявителя.
    Настоящий стандарт определяет требования к минимальному содержанию ТОО; однако система оценки может задать дополнительные требования к содержанию, конкретному представлению и структуре информации. Например, в системе оценки может требоваться, чтобы конкретный вводный материал (например, налагаемые ограничения и заявление авторских прав) всегда был включен в ТОО.
    Предполагается, что пользователь ТОО знаком с общими концепциями информационной безопасности, ИСО/МЭК 15408, настоящим стандартом, подходами к оценке и ИТ.
    ТОО помогает органу оценки вынести свой вердикт, но, предположительно, может не содержать всей необходимой для этого информации, а задокументированные результаты оценки могут не содержать необходимых в данной системе оценки свидетельств для подтверждения правильности выполненной оценки. Этот фактор находится за рамками области действия настоящего стандарта и должен быть учтен посредством использования других методов надзора.
 

7.3.4.2 ТОО при оценке ПЗ

 
    В настоящем подпункте приведено минимально необходимое содержание информации, включаемой в ТОО при оценке ПЗ. Содержание ТОО показано на рисунке 3; этот рисунок может быть использован как образец при построении структурной схемы ТОО.
 

 

Рисунок 3 - Содержание ТОО при оценке ПЗ

 

7.3.4.2.1 Введение

 
    Оценщик должен привести в отчете идентификаторы системы оценки.
    Идентификаторы системы оценки (например, логотип) являются информацией, требуемой для однозначной идентификации системы, ответственной за мониторинг оценки.
    Оценщик должен привести в отчете идентификаторы контроля конфигурации ТОО.
    Идентификаторы контроля конфигурации ТОО содержат информацию, которая идентифицирует ТОО (например, наименование, дату составления и номер версии).
    Оценщик должен привести в отчете идентификаторы контроля конфигурации ПЗ.
    Идентификаторы контроля конфигурации ПЗ (например, наименование, дата составления и номер версии) требуются, чтобы орган оценки мог определить, что именно оценивается, и подтвердить правильность вынесенных оценщиком вердиктов.
    Оценщик должен привести в отчете идентификатор разработчика.
    Идентификатор разработчика ПЗ требуется для идентификации стороны, ответственной за создание ПЗ.
    Оценщик должен привести в отчете идентификатор заявителя.
    Идентификатор заявителя требуется для идентификации стороны, ответственной за представление оценщику свидетельств оценки.
    Оценщик должен привести в отчете идентификатор оценщика.
    Идентификатор оценщика необходим для идентификации стороны, выполняющей оценку и ответственной за вердикты по результатам оценки.
 

7.3.4.2.2 Оценка

 
    Оценщик должен привести в отчете сведения о методах оценки, технологии, инструментальных средствах и применяемых стандартах.
    Оценщик приводит ссылки на критерии оценки, методологию и интерпретации, использованные при оценке ПЗ.
    Оценщик должен привести в отчете сведения о любых ограничениях, принятых при оценке, об ограничениях на распространение результатов оценки и о предположениях, сделанных во время оценки, которые влияют на ее результаты.
    Оценщик может включить в отчет информацию о правовых или законодательных аспектах, организации работ, конфиденциальности и т.д.
 

7.3.4.2.3 Результаты оценки

 
    Оценщик должен привести в отчете вердикт, сопровождаемый обоснованием, для каждого из компонентов доверия, составляющих вид деятельности "Оценка профиля защиты", как результат выполнения соответствующего действия методологии оценки и составляющих его шагов оценивания.
    Обоснование представляет собой объяснение для вынесения вердикта, сделанного на основе ИСО/МЭК 15408, настоящего стандарта, любых их интерпретаций и изученных свидетельств оценки, и показывает, насколько свидетельства оценки удовлетворяют или не удовлетворяют каждому критерию. Оно содержит описание выполненной работы, используемых методов и процедур получения результатов. Обоснование может обеспечивать детализацию до уровня шагов оценивания из методологии оценки.
 

7.3.4.2.4 Выводы и рекомендации

 
    Оценщик должен привести в отчете выводы по результатам оценки, в частности общий вердикт в соответствии с ИСО/МЭК 15408-1 (подраздел 6.3) и процедурой вынесения вердикта, описанной в 6.5 настоящего стандарта.
    Оценщик дает рекомендации, которые могут быть полезны для органа оценки. Эти рекомендации могут указывать на недостатки ПЗ, обнаруженные во время оценки, или упоминать о его свойствах, которые особенно полезны.
 

7.3.4.2.5 Перечень свидетельств оценки

 
    Оценщик должен привести в отчете следующую информацию о каждом свидетельстве оценки:
    - наименование составителя (например, разработчика, заявителя);
    - наименование свидетельства оценки;
    - уникальную ссылку (например, дату составления и номер версии).
 

7.3.4.2.6 Перечень сокращений/глоссарий терминов

 
    Оценщик должен привести в отчете перечень всех сокращений, используемых в ТОО.
    В ТОО нет необходимости повторять определения глоссария, уже приведенные в ИСО/МЭК 15408 или настоящем стандарте.
 

7.3.4.2.7 Сообщения о проблемах

 
    Оценщик должен привести в отчете полный перечень, уникально идентифицирующий все СП, подготовленные во время оценки, а также их статус.
    Для каждого СП в перечне следует привести идентификатор СП, а также наименование или аннотацию.
 

7.3.4.3 ТОО при оценке ОО

 
    В данном подпункте приведено минимально необходимое содержание информации, включаемой в ТОО при оценке ОО. Содержание ТОО показано на рисунке 4; этот рисунок может быть использован как образец при построении структурной схемы ТОО.
 

 

Рисунок 4 - Содержание ТОО при оценке ОО

 

7.3.4.3.1 Введение

 
    Оценщик должен привести в отчете идентификаторы системы оценки.
    Идентификаторы системы оценки (например, логотип) являются информацией, требуемой для однозначной идентификации системы, ответственной за мониторинг оценки.
    Оценщик должен привести в отчете идентификаторы контроля конфигурации ТОО.
    Идентификаторы контроля конфигурации ТОО содержат информацию, которая идентифицирует ТОО (например, наименование, дату составления и номер версии).
    Оценщик должен привести в отчете идентификаторы контроля конфигурации ЗБ и ОО.
    Идентификаторы контроля конфигурации ЗБ и ОО требуются, чтобы орган оценки мог определить, что именно оценивается, и подтвердить правильность вынесенных оценщиком вердиктов.
    Если ЗБ содержит утверждения о соответствии ОО требованиям одного или нескольких ПЗ, ТОО должен содержать ссылку на соответствующие ПЗ.
    Ссылка на ПЗ содержит информацию, которая уникально идентифицирует ПЗ (например, наименование, дату составления и номер версии).
    Оценщик должен привести в отчете идентификатор разработчика.
    Идентификатор разработчика ОО требуется для идентификации стороны, ответственной за создание ОО.
    Оценщик должен привести в отчете идентификатор заявителя.
    Идентификатор заявителя требуется для идентификации стороны, ответственной за представление оценщику свидетельств оценки.
    Оценщик должен привести в отчете идентификатор оценщика.
    Идентификатор оценщика необходим для идентификации стороны, выполняющей оценку и ответственной за вердикты по результатам оценки.
 

7.3.4.3.2 Описание архитектуры ОО

 
    Оценщик должен привести в отчете высокоуровневое описание ОО и его главных компонентов, основанное на свидетельстве оценки, указанном в семействе доверия ИСО/МЭК 15408 "Проект верхнего уровня" (ADV_HLD), где оно применимо.
    Назначение этого раздела состоит в указании степени архитектурного разделения главных компонентов. Если в ЗБ отсутствуют требования из семейства ADV_HLD "Проект верхнего уровня", этот раздел не применяют.
 

7.3.4.3.3 Оценка

 
    Оценщик должен привести в отчете сведения о методах оценки, технологии, инструментальных средствах и применяемых стандартах.
    Оценщик может сослаться на критерии оценки, методологию и интерпретации, использованные при оценке ОО, или на устройства, применяемые при испытаниях.
    Оценщик должен привести в отчете сведения о любых ограничениях, принятых при оценке, об ограничениях на распространение результатов оценки и о предположениях, сделанных во время оценки, которые влияют на ее результаты.
    Оценщик может включить в отчет информацию о правовых или законодательных сторонах, организации работ, конфиденциальности и т.д.
 

7.3.4.3.4 Результаты оценки

 
    Для каждого вида деятельности по оценке ОО оценщик должен привести в отчете:
    - наименование рассматриваемого вида деятельности;
    - вердикт, сопровождаемый обоснованием, для каждого компонента доверия, определяющего этот вид деятельности, как результат выполнения соответствующего действия методологии оценки и составляющих его шагов оценивания.
    В обосновании поясняют вердикт с использованием ИСО/МЭК 15408, настоящего стандарта, любых их интерпретаций и изученных свидетельств оценки, а также демонстрируют, насколько свидетельства оценки удовлетворяют или не удовлетворяют каждому критерию. Обоснование содержит описание выполненной работы, используемых методов и процедур получения результатов. Обоснование может обеспечивать детализацию до уровня шагов оценивания из методологии оценки.
    Оценщик должен привести в отчете всю информацию, специально требуемую на шагах оценивания.
    Для видов деятельности "Оценка уязвимостей" и "Тестирование" указывают шаги оценивания, которые определяют информацию, включаемую в ТОО.
 

7.3.4.3.5 Выводы и рекомендации

 
    Оценщик должен привести в отчете выводы по результатам оценки об удовлетворении ОО требованиям своего ЗБ, в частности общий вердикт в соответствии с ИСО/МЭК 15408-1 (подраздел 6.3) и процедурой вынесения вердикта, описанной в 6.5 настоящего стандарта.
    Оценщик дает рекомендации, которые могут быть полезны для органа оценки. Эти рекомендации могут указывать на недостатки продукта ИТ, обнаруженные во время оценки, или упоминать о его свойствах, которые особенно полезны.
 

7.3.4.3.6 Перечень свидетельств оценки

 
    Оценщик должен привести в отчете следующую информацию о каждом свидетельстве оценки:
    - наименование составителя (например, разработчика, заявителя);
    - наименование свидетельства оценки;
    - уникальную ссылку (например, дату составления и номер версии).
 

7.3.4.3.7 Перечень сокращений/глоссарий терминов

 
    Оценщик должен привести в отчете перечень всех сокращений, используемых в ТОО.
    В ТОО нет необходимости повторять определения глоссария, уже приведенные в ИСО/МЭК 15408 или настоящем стандарте.
 

7.3.4.3.8 Сообщения о проблемах

 
    Оценщик должен привести в отчете полный перечень, уникально идентифицирующий все СП, подготовленные во время оценки, а также их статус.
    Для каждого СП в перечне следует привести идентификатор СП, а также наименование или аннотацию.
 

7.3.5 Подвиды деятельности по оценке

 

    

Рисунок 5 - Общая модель оценки

 
    Свидетельства оценки могут варьироваться в зависимости от типа оценки (для оценки ПЗ требуется только ПЗ, в то время как для оценки ОО требуются предусмотренные для ОО свидетельства). Результаты оценки приводят в ТОО и, возможно, в сообщениях о проблемах (СП). Подвиды деятельности по оценке варьируются и, в случае с оценкой ОО, зависят от требований доверия по ИСО/МЭК 15408-3.
    Разделы 8-13 организованы единообразно, основываясь на работах, требуемых при оценке. В разделе 8 рассмотрены работы, необходимые для достижения результатов оценки ПЗ. Раздел 9 связан с работами, необходимыми для оценки ЗБ, хотя для этих работ не предусмотрен отдельный результат оценки. Разделы 10-13 относятся к работам, необходимым для достижения результатов оценки по ОУД1-ОУД4 (в сочетании с оценкой ЗБ). Каждый из этих разделов предусмотрен как автономный раздел и, следовательно, может содержать повторения текста, содержащегося в других разделах.
 

8 Оценка профиля защиты

 

8.1 Введение

 
    Настоящий раздел описывает оценку ПЗ. Требования и методология оценки ПЗ идентичны для каждой оценки ПЗ независимо от ОУД (или другой совокупности критериев доверия), заявленного в ПЗ. В то время как последующие разделы настоящего стандарта ориентированы на проведение оценки по конкретным ОУД, настоящий раздел применим к любому оцениваемому ПЗ.
    Методология оценки в настоящем разделе основана на требованиях к ПЗ, определенных в ИСО/МЭК 15408-1, приложение А и классе АРЕ "Оценка профиля защиты" ИСО/МЭК 15408-3.
 

8.2 Организация оценки ПЗ

 
    Виды деятельности по проведению полной оценки ПЗ охватывают следующее:
    a) задачу получения исходных данных для оценки (раздел 7);
    b) вид деятельности по оценке ПЗ, включающий в себя следующие подвиды деятельности:
    1) оценку раздела "Описание ОО" (8.3.1);
    2) оценку раздела "Среда безопасности ОО" (8.3.2);
    3) оценку раздела "Введение ПЗ" (8.3.3);
    4) оценку раздела "Цели безопасности" (8.3.4);
    5) оценку раздела "Требования безопасности ИТ" (8.3.5);
    7) оценку сформулированных в явном виде требований безопасности ИТ (8.3.6);
    с) задачу оформления результатов оценки (раздел 7).
    Задачи получения исходных данных для оценки и оформления результатов оценки описаны в разделе 7. Подвиды деятельности по оценке вытекают из требований доверия класса АРЕ, содержащихся в ИСО/МЭК 15408-3.
    В настоящем разделе описаны подвиды деятельности, включенные в оценку ПЗ. Хотя подвиды деятельности могут начинаться более или менее случайно, некоторые зависимости между подвидами деятельности должны быть учтены оценщиком. Руководство по учету зависимостей см. в А.4 "Зависимости" (приложение А).
    Подвид деятельности по оценке сформулированных в явном виде требований безопасности ИТ выполняют только тогда, когда в состав требований безопасности ИТ включены требования безопасности, взятые не из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3.
 

8.3 Вид деятельности "Оценка профиля защиты"

 

8.3.1 Оценка раздела "Описание ОО" (APE_DES.1)

 

8.3.1.1 Цели

 
    Цель данного подвида деятельности - сделать заключение, содержит ли "Описание ОО" соответствующую для понимания назначения ОО и его функциональных возможностей информацию, а также является ли описание ОО полным и непротиворечивым.
 

8.3.1.2 Исходные данные

 
    Свидетельством оценки для этого подвида деятельности является ПЗ.
 

8.3.1.3 Действие APE_DES.1.1Е

 

8.3.1.3.1 Шаг оценивания APE_DES.1-1

 
    ИСО/МЭК 15408-3 APE_DES.1.1С: Описание ОО должно включать в себя тип продукта и общие свойства ИТ, присущие ОО.
    Оценщик должен исследовать раздел "Описание ОО", чтобы сделать заключение, описан ли в нем тип продукта или системы для ОО.
    Оценщик делает заключение, достаточно ли "Описание ОО" для общего понимания предполагаемого использования продукта или системы и обеспечивает ли, таким образом, контекст оценки. Примерами некоторых типов продуктов и систем являются: межсетевой экран, смарт-карта, криптомодем, веб-сервер, интрасеть.
    Существуют ситуации, когда является очевидным, что у ОО ожидается наличие некоторых функциональных возможностей, определяемых типом продукта или системы. Если эти функциональные возможности отсутствуют, то оценщик делает заключение, адекватно ли это отсутствие рассмотрено в разделе "Описание ОО". Примером этого является ОО типа "межсетевой экран", в "Описании ОО" которого изложено, что он не может быть подключен к сетям.
 

8.3.1.3.2 Шаг оценивания APE_DES.1-2

 
    Оценщик должен исследовать раздел "Описание ОО", чтобы сделать заключение, описаны ли в нем в общих чертах ИТ-характеристики ОО.
    Оценщик делает заключение, рассмотрены ли в разделе "Описание ОО" ИТ-характеристики и в особенности характеристики безопасности, предоставляемые ОО, на таком уровне детализации, который достаточен для общего понимания этих характеристик.
 

8.3.1.4 Действие APE_DES.1.2E
 
8.3.1.4.1 Шаг оценивания APE_DES.1-3

 
    Оценщик должен исследовать ПЗ, чтобы сделать заключение, является ли "Описание ОО" логически упорядоченным.
    Изложение раздела "Описание ОО" является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. разработчикам, оценщикам и потребителям).
 

8.3.1.4.2 Шаг оценивания APE_DES.1-4

 
    Оценщик должен исследовать ПЗ, чтобы сделать заключение, является ли "Описание ОО" внутренне непротиворечивым.
    Оценщику необходимо иметь в виду, что данный раздел ПЗ предназначен только для того, чтобы определить общее назначение ОО.
    Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).
 

8.3.1.5 Действие APE_DES.1.3Е

 

8.3.1.5.1 Шаг оценивания APE_DES.1-5

 
    Оценщик должен исследовать ПЗ, чтобы сделать заключение, согласовано ли "Описание ОО" с другими частями ПЗ.
    Оценщик делает заключение, в частности, что в разделе "Описание ОО" неописаны угрозы, характеристики безопасности или конфигурации ОО, которые не рассмотрены в каком-либо другом месте ПЗ.
    Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).
 

8.3.2 Оценка раздела "Среда безопасности ОО" (APE_ENV.1)

 

8.3.2.1 Цели

 
    Цель данного подвида деятельности - сделать заключение, обеспечивает ли изложение раздела "Среда безопасности ОО" в ПЗ четкое и непротиворечивое определение проблемы безопасности, решение которой возложено на ОО и его среду.
 

8.3.2.2 Исходные данные

 
    Свидетельством оценки для этого подвида деятельности является ПЗ.
 

8.3.2.3 Действие APE_ENV.1.1Е

 

8.3.2.3.1 Шаг оценивания APE_ENV.1-1

 
    ИСО/МЭК 15408-3 APE_ENV.1.1С: Изложение среды безопасности ОО должно идентифицировать и объяснить каждое предположение о предполагаемом применении ОО и среде использования ОО.
    Оценщик должен исследовать изложение раздела "Среда безопасности ОО", чтобы сделать заключение, идентифицированы и разъяснены ли в нем какие-либо предположения.
    Предположения могут быть разделены на предположения относительно использования ОО и предположения относительно среды использования ОО.
    Оценщик делает заключение, учитывают ли предположения относительно использования ОО такие аспекты, как предполагаемое применение ОО, потенциальная ценность активов, требующих защиты со стороны ОО, и возможные ограничения использования ОО.
    Оценщик делает заключение, достаточно ли подробно разъяснено каждое предположение относительно использования ОО для того, чтобы дать возможность потребителям решить, соответствует ли предполагаемое использование ими ОО сделанным предположениям. Если предположения не являются четкими и понятными, то это может, в конечном счете, привести к тому, что потребители будут использовать ОО в среде, для которой он не предназначен.
    Оценщик делает заключение, охватывают ли предположения относительно среды использования ОО аспекты физической среды, персонала и внешних связей:
    a) Физические аспекты включают в себя предположения, которые необходимо сделать относительно физического расположения ОО или подключенных периферийных устройств для того, чтобы ОО функционировал безопасным образом. Несколько примеров:
    - предполагают, что консоли администраторов находятся в некоторой зоне, доступ в которую ограничен только персоналом, являющимся администраторами;
    - предполагают, что хранение всех файлов для ОО осуществляется на той рабочей станции, на которой функционирует ОО.
    b) Аспекты, имеющие отношение к персоналу, включают в себя предположения, которые необходимо сделать относительно пользователей и администраторов ОО или других лиц (включая потенциальные источники угроз) внутри среды ОО для того, чтобы ОО функционировал безопасным образом. Несколько примеров:
    - предполагают, что пользователи имеют конкретные навыки или специальные знания;
    - предполагают, что пользователи имеют определенный минимальный допуск;
    - предполагают, что администраторы обновляют антивирусную базу данных ежемесячно.
    c) Аспекты внешних связей включают в себя предположения, которые необходимо сделать относительно связей между ОО и другими внешними по отношению к ОО системами или продуктами ИТ (аппаратными, программными и программно-аппаратными средствами или их комбинацией) для того, чтобы ОО функционировал безопасным образом. Несколько примеров:
    - предполагают, что для хранения файлов регистрации, генерируемых ОО, доступным является, по крайней мере, 100 Мб внешнего дискового пространства;
    - предполагают, что ОО является единственным приложением, не относящимся к операционной системе, выполняемым на отдельной рабочей станции;
    - предполагают, что дисковод ОО для накопителей на гибком магнитном диске отключен;
    - предполагают, что ОО не будет подключен к недоверенной сети.
    Оценщик делает заключение, достаточно ли подробно разъяснено каждое предположение относительно среды использования ОО для того, чтобы предоставить возможность потребителям решить, соответствует ли их предполагаемая среда сделанным предположениям о среде ОО. Если предположения не являются четкими и понятными, то это может, в конечном счете, привести к тому, что ОО будет использован в среде, в которой он не будет функционировать безопасным образом.
 

8.3.2.3.2 Шаг оценивания APE_ENV.1-2

 
    ИСО/МЭК 15408-3 APE_ENV.1.2C: Изложение среды безопасности ОО должно идентифицировать и объяснить каждую известную или предполагаемую угрозу активам, от которой будет требоваться защита посредством ОО или его среды.
    Оценщик должен исследовать изложение раздела "Среда безопасности ОО", чтобы сделать заключение, идентифицированы и разъяснены ли в нем какие-либо угрозы.
    Если цели безопасности для ОО и его среды получены только на основе предположений и политики безопасности организации, то изложение угроз в ПЗ не потребуется. В таком случае данный шаг оценивания не применяют и поэтому считают удовлетворенным.
    Оценщик делает заключение, все ли идентифицированные угрозы ясно разъяснены в терминах идентифицированного источника угрозы, нападения и актива, являющегося объектом нападения.
    Оценщик также делает заключение, охарактеризованы ли источники угроз (нарушители) через их компетентность, ресурсы и мотивацию, а нападения - через методы нападения, какие-либо используемые уязвимости и возможность нападения.
 

8.3.2.3.3 Шаг оценивания APE_ENV.1-3

 
    ИСО/МЭК 15408-3 APE_ENV.1.3C: Изложение среды безопасности ОО должно идентифицировать и объяснить каждую политику безопасности организации, соответствие которой для ОО необходимо.
    Оценщик должен исследовать изложение раздела "Среда безопасности ОО", чтобы сделать заключение, идентифицированы и разъяснены ли в нем какие-либо политики безопасности организации.
    Если цели безопасности для ОО и его среды получены только на основе предположений и угроз, то нет необходимости в том, чтобы политика безопасности организации была представлена в ПЗ. В таком случае данный шаг оценивания не применяют и поэтому считают удовлетворенным.
    Оценщик делает заключение, изложена ли политика безопасности организации в виде правил, практических приемов или руководств, установленных организацией, контролирующей среду использования ОО, которым должен следовать ОО или его среда. Примером политики безопасности организации является требование генерации и шифрования паролей в соответствии с национальным стандартом.
    Оценщик делает заключение, достаточно ли подробно разъяснена и/или интерпретирована каждая политика безопасности организации для того, чтобы она была ясной для понимания; ясное представление формулировок политик является необходимым для того, чтобы дать возможность проследить цели безопасности по отношению к ним.
 

8.3.2.4 Действие APE_ENV.1.2E

 

8.3.2.4.1 Шаг оценивания APE_ENV.1-4

 
    Оценщик должен исследовать изложение раздела "Среда безопасности ОО", чтобы сделать заключение, является ли оно логически упорядоченным.
    Изложение раздела "Среда безопасности ОО" является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. оценщикам и потребителям).
 

8.3.2.4.2 Шаг оценивания APE_ENV.1-5

 
    Оценщик должен исследовать изложение раздела "Среда безопасности ОО", чтобы сделать заключение, является ли оно внутренне непротиворечивым.
    Примерами внутренне противоречивого изложения раздела "Среда безопасности ОО" являются:
    a) изложение раздела "Среда безопасности ОО", которое содержит угрозу, метод нападения для которой не может быть реализован источником угрозы;
    b) изложение раздела "Среда безопасности ОО", которое содержит правило политики безопасности организации "ОО не должен быть подключен к Интернету" и угрозу, источником которой является злоумышленник из Интернета.
    Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).
 

8.3.3 Оценка раздела "Введение ПЗ" (APE_INT.1)

 

8.3.3.1 Цели

 
    Цель данного подвида деятельности - сделать заключение, является ли раздел "Введение ПЗ" полным и согласованным со всеми другими частями ПЗ и правильно ли в нем идентифицирован ПЗ.
 

8.3.3.2 Исходные данные

 
    Свидетельством оценки для этого подвида деятельности является ПЗ.
 

8.3.3.3 Действие APE_INT.1.1Е

 

8.3.3.3.1 Шаг оценивания APE_INT.1-1

 
    ИСО/МЭК 15408-3 APE_INT.1.1С: Введение ПЗ должно содержать данные идентификации ПЗ, которые предоставляют маркировку и описательную информацию, необходимые для идентификации, каталогизации, регистрации ПЗ и ссылок на него.
    Оценщик должен проверить, представлена ли в разделе "Введение ПЗ" идентификационная информация, необходимая для идентификации, каталогизации, регистрации и перекрестной ссылки на ПЗ.
    Оценщик делает заключение, включает ли в себя идентификационная информация ПЗ:
    a) информацию, необходимую для контроля и уникальной идентификации ПЗ (например, наименование ПЗ, номер версии, дату публикации, авторов, организацию-заявителя);
    b) указание версии ИСО/МЭК 15408, использованной при разработке ПЗ;
    c) регистрационную информацию, если перед оценкой ПЗ был зарегистрирован;
    d) перекрестные ссылки, если ПЗ сопоставляется с другим (другими) ПЗ;
    e) дополнительную информацию в соответствии с требованиями системы оценки.
 

8.3.3.3.2 Шаг оценивания APE_INT.1-2

 
    ИСО/МЭК 15408-3 APE_INT.1.2C: Введение ПЗ должно содержать аннотацию ПЗ с общей характеристикой ПЗ в описательной форме.
    Оценщик должен проверить, представлена ли в разделе "Введение ПЗ" "Аннотация ПЗ" в повествовательной форме.
    "Аннотация ПЗ" предназначена для того, чтобы предоставить краткое резюме содержания ПЗ (более детальное описание приведено в разделе "Описание ОО"), которое является достаточно подробным, чтобы позволить потенциальному пользователю ПЗ сделать заключение, представляет ли для него интерес данный ПЗ.
 

8.3.3.4 Действие APE_INT.1.2E

 

8.3.3.4.1 Шаг оценивания APE_INT.1-3

 
    Оценщик должен исследовать "Введение ПЗ", чтобы сделать заключение, является ли оно логически упорядоченным.
    "Введение ПЗ" является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. разработчикам, оценщикам и потребителям).
 

8.3.3.4.2 Шаг оценивания APE_INT.1-4

 
    Оценщик должен исследовать "Введение ПЗ", чтобы сделать заключение, является ли оно внутренне непротиворечивым.
    Анализ внутренней непротиворечивости, естественно, опирается на краткий обзор ПЗ, представляющий собой резюме содержания ПЗ.
    Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).
 

8.3.3.5 Действие APE_NT.1.3Е

 

8.3.3.5.1 Шаг оценивания APE_INT.1-5

 
    Оценщик должен исследовать ПЗ, чтобы сделать заключение, согласовано ли "Введение ПЗ" с другими частями ПЗ.
    Оценщик делает заключение, предоставляет ли "Аннотация ПЗ" точную общую характеристику ОО. В частности, оценщик делает заключение, согласована ли "Аннотация ПЗ" с разделом "Описание ОО" и не предполагается ли в нем наличие характеристик безопасности, которые выходят за рамки оценки.
    Оценщик также делает заключение, согласовано ли "Утверждение о соответствии ИСО/МЭК 15408" с другими частями ПЗ.
    Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).
 

8.3.4 Оценка раздела "Цели безопасности" (APE_OBJ.1)

 

8.3.4.1 Цели

 
    Цель данного подвида деятельности - сделать заключение, полностью ли и согласованно описаны цели безопасности, направлены ли цели безопасности на противостояние идентифицированным угрозам, на достижение идентифицированной политики безопасности организации и согласованы ли они с приведенными предположениями.
 

8.3.4.2 Исходные данные

 
    Свидетельством оценки для этого подвида деятельности является ПЗ.
 

8.3.4.3 Действие APE_OBJ.1.1Е

 

8.3.4.3.1 Шаг оценивания АРЕ_ОВJ.1-1

 
    ИСО/МЭК 15408-3 APE_OBJ.1.1С: Изложение целей безопасности должно определить цели безопасности для ОО и его среды.
    Оценщик должен проверить, определены ли в изложении целей безопасности цели безопасности для ОО и его среды.
    Оценщик делает заключение, ясно ли определено для каждой цели безопасности, относится она к ОО, к среде или к тому и другому.
 

8.3.4.3.2 Шаг оценивания APE_OBJ.1-2

 
    ИСО/МЭК 15408-3 APE_OBJ.1.2C: Цели безопасности для ОО должны быть сопоставлены с теми аспектами идентифицированных угроз, которым будет противостоять ОО, и/или с политикой безопасности организации, которая будет выполняться ОО.
    Оценщик должен исследовать "Обоснование целей безопасности", чтобы сделать заключение, все ли цели безопасности для ОО прослежены к аспектам идентифицированных угроз, которым необходимо противостоять, и/или к аспектам политики безопасности организации, которой должен следовать ОО.
    Оценщик делает заключение, прослежена ли каждая цель безопасности для ОО, по крайней мере, к одной угрозе или политике безопасности организации.
    Неудача при попытке такого прослеживания свидетельствует о том, что либо обоснование целей безопасности является неполным, либо изложение угроз/политики безопасности организации является неполным, либо цель безопасности для ОО является бесполезной.
    Поэтому угрозе полностью может соответствовать одна или более цель для среды. Крайний случай - это когда отсутствуют цели безопасности для ОО. Хотя и в этом случае использование конструкции ПЗ/ЗБ остается правомерным, определение ОО, для которого все угрозы и политики безопасности организации учитываются средой, вряд ли бы имело какой-то практический смысл, так как для такого ОО не было бы никаких функциональных требований безопасности. Решение о сертификации подобных ОО является прерогативой системы оценки.
 

8.3.4.3.3 Шаг оценивания APE_OBJ.1-3

 
    ИСО/МЭК 15408-3 APE_OBJ.1.3C: Цели безопасности для среды должны быть сопоставлены с теми аспектами идентифицированных угроз, которым ОО противостоит не полностью, и/или с политикой безопасности организации или предположениями, не полностью выполняемыми ОО.
    Оценщик должен исследовать "Обоснование целей безопасности", чтобы сделать заключение, прослежены ли цели безопасности для среды к тем идентифицированным угрозам, которым должна противостоять среда ОО, и/или к аспектам политики безопасности организации, которым должна удовлетворять среда ОО, и/или к предположениям, которым должна удовлетворять среда ОО.
    Оценщик делает заключение, прослежена ли каждая цель безопасности для среды, по крайней мере, к одному предположению, угрозе или политике безопасности организации.
    Неудача при попытке такого прослеживания свидетельствует о том, что либо обоснование целей безопасности является неполным, либо изложение предположений/угроз/политики безопасности организации является неполным, либо цель безопасности для среды является бесполезной.
 

8.3.4.3.4 Шаг оценивания APE_OBJ.1-4

 
    ИСО/МЭК 15408-3 APE_OBJ.1.4С: Обоснование целей безопасности должно демонстрировать, что изложенные цели безопасности пригодны для противостояния всем идентифицированным угрозам безопасности.
    Оценщик должен исследовать "Обоснование целей безопасности", чтобы сделать заключение, содержится ли в нем для каждой угрозы приемлемое логическое обоснование того, что цели безопасности пригодны для противостояния данной угрозе.
    Если ни одна цель безопасности не прослежена к конкретной угрозе, то результат данного шага оценивания отрицательный.
    Оценщик делает заключение, демонстрирует ли логическое обоснование для угрозы то, что, если все цели безопасности, прослеживаемые к угрозе, достигнуты, то угроза либо устранена, либо снижена до приемлемого уровня, либо последствия ее реализации в достаточной мере компенсированы.
    Оценщик также делает заключение, действительно ли каждая цель безопасности, которая прослежена к угрозе, будучи достигнутой, вносит вклад в устранение, снижение или компенсацию последствий реализации данной угрозы.
    Примеры устранения угрозы:
    - устранение для источника угрозы (нарушителя) возможности использовать какой-либо метод нападения;
    - устранение мотивации источника угрозы (нарушителя) путем применения сдерживающих факторов;
    - устранение источника угрозы (например, отключение от сети машин, часто приводящих к фатальному сбою этой сети).
    Примеры снижения угрозы:
    - ограничение для источника угрозы возможности использования методов нападения;
    - ограничение возможностей источников угрозы;
    - снижение вероятности успешного результата инициированного нападения;
    - повышенные требования к компетентности и ресурсам источника угрозы.
    Примеры компенсации последствий реализации угрозы:
    - частое создание резервных копий активов;
    - наличие резервных копий ОО;
    - частая смена ключей, используемых в течение сеанса связи, чтобы последствия компрометации одного ключа были относительно незначительными.
    Несмотря на то, что прослеживание целей безопасности к угрозам в обосновании целей безопасности может быть частью логического обоснования, само по себе оно не является логическим обоснованием. Даже в том случае, когда цель безопасности является только заявлением, отражающим намерение предотвратить реализацию конкретной угрозы, все равно требуется логическое обоснование, хотя в данном случае оно может быть минимальным.
 

8.3.4.3.5 Шаг оценивания APE_OBJ.1-5

 
    ИСО/МЭК 15408-3 APE_OBJ.1.5C: Обоснование целей безопасности должно демонстрировать, что изложенные цели безопасности пригодны для охвата всех установленных положений политики безопасности организации и предположений.
    Оценщик должен исследовать "Обоснование целей безопасности", чтобы сделать заключение, содержится ли в нем для каждого аспекта политики безопасности организации приемлемое логическое обоснование того, что цели безопасности покрывают данный аспект политики безопасности организации.
    Если ни одна цель безопасности не прослежена к политике безопасности организации, то результат данного шага оценивания отрицательный.
    Оценщик делает заключение, демонстрирует ли логическое обоснование для политики безопасности организации то, что, если все цели безопасности, прослеженные к политике безопасности организации, достигнуты, то политика безопасности организации реализована.
    Оценщик также делает заключение, действительно ли каждая цель безопасности, которая прослежена к политике безопасности организации, будучи достигнутой, вносит вклад в реализацию политики безопасности организации.
    Несмотря на то, что прослеживание целей безопасности к политике безопасности организации в обосновании целей безопасности может быть частью логического обоснования, само по себе оно не является логическим обоснованием. Даже в том случае, когда цель безопасности является только заявлением, отражающим намерение реализовать конкретную политику безопасности, все равно требуется логическое обоснование, хотя в данном случае оно может быть минимальным.
 

8.3.4.3.6 Шаг оценивания APE_OBJ.1-6

 
    Оценщик должен исследовать "Обоснование целей безопасности", чтобы сделать заключение, содержится ли в нем для каждого предположения приемлемое логическое обоснование того, что цели безопасности для среды пригодны для покрытия данного предположения.
    Если ни одна цель безопасности для среды не прослежена к приведенному предположению, то результат данного шага оценивания отрицательный.
    Предположение является или предположением относительно предполагаемого использования ОО, или предположением относительно среды использования ОО.
    Оценщик делает заключение, демонстрирует ли логическое обоснование для предположения относительно предполагаемого использования ОО то, что, если все цели безопасности для среды, прослеженные к данному предположению, достигнуты, предполагаемое использование ОО поддерживается.
    Оценщик также делает заключение, действительно ли каждая цель безопасности для среды, прослеживаемая к некоторому предположению относительно предполагаемого использования ОО, будучи достигнутой, вносит вклад в поддержку предполагаемого использования.
    Оценщик делает заключение, демонстрирует ли логическое обоснование для предположения относительно среды использования ОО то, что, если все цели безопасности для среды, прослеженные к данному предположению, достигнуты, среда согласуется с данным предположением.
    Оценщик также делает заключение, действительно ли каждая цель безопасности для среды, которая прослежена к предположению относительно среды использования ОО, будучи достигнутой, вносит вклад в достижение согласованности среды с предположением.
    Несмотря на то, что прослеживание целей безопасности для среды к предположениям относительно среды использования ОО в подразделе "Обоснование целей безопасности" может быть частью логического обоснования, само по себе оно не является логическим обоснованием. Даже в том случае, когда цель безопасности представляет собой перефразированное предположение, все равно требуется логическое обоснование, хотя в данном случае оно может быть минимальным.
 

8.3.4.4 Действие APE_OBJ.1.2Е

 

8.3.4.4.1 Шаг оценивания APE_OBJ.1-7

 
    Оценщик должен исследовать изложение раздела "Цели безопасности", чтобы сделать заключение, является ли оно логически упорядоченным.
    Изложение раздела "Цели безопасности" является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. оценщикам и потребителям).
 

8.3.4.4.2 Шаг оценивания APE_OBJ.1-8

 
    Оценщик должен исследовать изложение раздела "Цели безопасности", чтобы сделать заключение, является ли оно полным.
    Изложение раздела "Цели безопасности" является полным, если цели безопасности достаточны для противостояния всем идентифицированным угрозам и покрывают все идентифицированные политики безопасности организации и предположения. Данный шаг оценивания может быть выполнен совместно с шагами оценивания APE_OBJ.1-4, APE_OBJ.1-5 и APE_OBJ.1-6.
 

8.3.4.4.3 Шаг оценивания APE_OBJ.1-9

 
    Оценщик должен исследовать изложение раздела "Цели безопасности", чтобы сделать заключение, является ли оно внутренне непротиворечивым.
    Изложение раздела "Цели безопасности" является внутренне непротиворечивым, если цели безопасности не противоречат друг другу. Примером противоречия могут служить следующие две цели безопасности: "Идентификатор пользователя не подлежит раскрытию" и "Идентификатор пользователя должен быть доступен другим пользователям".
    Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).
 

8.3.5 Оценка раздела "Требования безопасности ИТ" (APE_REQ.1)

 

8.3.5.1 Цели

 
    Цель данного подвида деятельности - сделать заключение, является ли описание требований безопасности ОО (как функциональных требований безопасности ОО, так и требований доверия к безопасности ОО) и требований безопасности для среды ИТ полным и непротиворечивым и обеспечивают ли данные требования безопасности адекватную основу для разработки ОО, который бы достигал своих целей безопасности.
 

8.3.5.2 Исходные данные

 
    Свидетельством оценки для этого подвида деятельности является ПЗ.
 

8.3.5.3 Действие APE_REQ.1.1Е

 

8.3.5.3.1 Шаг оценивания APE_REQ.1-1

 
    ИСО/МЭК 15408-3 APE_REQ.1.1С: Изложение функциональных требований безопасности ОО должно идентифицировать функциональные требования безопасности ОО, составленные из компонентов функциональных требований ИСО/МЭК 15408-2.
    Оценщик должен проверить изложение функциональных требований безопасности ОО, чтобы сделать заключение, идентифицированы ли в нем функциональные требования безопасности ОО, составленные из компонентов функциональных требований по ИСО/МЭК 15408-2.
    Оценщик делает заключение, что все компоненты функциональных требований безопасности ОО, взятые из ИСО/МЭК 15408-2, идентифицированы либо путем ссылки на отдельные компоненты по ИСО/МЭК 15408-2, либо путем воспроизведения их в ПЗ.
 

8.3.5.3.2 Шаг оценивания APE_REQ.1-2

 
    Оценщик должен проверить, что каждая ссылка на компонент функциональных требований безопасности ОО является правильной.
    Для каждой ссылки на компонент функционального требования безопасности ОО по ИСО/МЭК 15408-2 оценщик делает заключение, существует ли упомянутый компонент в ИСО/МЭК 15408-2.
 

8.3.5.3.3 Шаг оценивания APE_REQ.1-3

 
    Оценщик должен проверить, что каждый компонент функциональных требований безопасности ОО, взятый из ИСО/МЭК 15408-2 и воспроизведенный в ПЗ, воспроизведен правильно.
    Оценщик делает заключение, правильно ли воспроизведены требования в подразделе "Функциональные требования безопасности ОО"; при этом исследование разрешенных операций не проводится. Исследование правильности операций над компонентами осуществляется при выполнении шага оценивания APE_REQ.1-11.
 

8.3.5.3.4 Шаг оценивания APE_REQ.1-4

 
    ИСО/МЭК 15408-3 APE_REQ.1.2C: Изложение требований доверия к ОО должно идентифицировать требования доверия к ОО, составленные из компонентов требований доверия ИСО/МЭК 15408-3.
    Оценщик должен проверить изложение подраздела "Требования доверия к безопасности ОО", чтобы сделать заключение, идентифицированы ли в нем требования доверия к безопасности ОО, составленные из компонентов требований доверия ИСО/МЭК 15408-3.
    Оценщик делает заключение, все ли компоненты требований доверия к безопасности ОО, взятые из ИСО/МЭК 15408-3, идентифицированы либо путем ссылки на некоторый ОУД, либо на отдельные компоненты из ИСО/МЭК 15408-3, либо путем их воспроизведения в ПЗ.
 

8.3.5.3.5 Шаг оценивания APE_REQ.1-5

 
    Оценщик должен проверить, что каждая ссылка на компоненты требований доверия к безопасности ОО является правильной.
    Для каждой ссылки на компонент требований доверия к безопасности ОО по ИСО/МЭК 15408-3 оценщик делает заключение, существует ли упомянутый компонент в ИСО/МЭК 15408-3.
 

8.3.5.3.6 Шаг оценивания APE_REQ.1-6

 
    Оценщик должен проверить, что каждый компонент требований доверия к безопасности ОО, взятый из ИСО/МЭК 15408-3 и воспроизведенный в ПЗ, воспроизведен правильно.
    Оценщик делает заключение, правильно ли воспроизведены требования в подразделе "Требования доверия к безопасности ОО"; при этом исследование выполнения разрешенных операций не проводится. Исследование правильности операций над компонентами осуществляется при выполнении шага оценивания APE_REQ.1-11.
 

8.3.5.3.7 Шаг оценивания APE_REQ.1-7

 
    ИСО/МЭК 15408-3 APE_REQ.1.3C: В изложение требований доверия к ОО следует включить оценочный уровень доверия (ОУД), как определено в ИСО/МЭК 15408-3.
    Оценщик должен исследовать изложение подраздела "Требования доверия к безопасности ОО", чтобы сделать заключение, содержит ли оно ОУД, определенный в ИСО/МЭК 15408-3, либо в нем логически обосновано отсутствие ОУД.
    Если никакой из ОУД не включен, то оценщик делает заключение, указана ли в логическом обосновании причина невключения ОУД в подраздел "Требования доверия к безопасности ОО". Это логическое обоснование может указывать либо на причину невозможности, нежелательности или нецелесообразности включения ОУД в ПЗ, либо на причину невозможности, нежелательности или нецелесообразности включения конкретных компонентов семейств, составляющих ОУД1 (АСМ_САР "Возможности УК", ADO_IGS "Установка, генерация и запуск", ADV_FSP "Функциональная спецификация", ADV_RCR "Соответствие представлений", AGD_ADM "Руководство администратора", AGD_USR "Руководство пользователя" и ATE_IND "Независимое тестирование").
 

8.3.5.3.8 Шаг оценивания APE_REQ.1-8

 
    ИСО/МЭК 15408-3 APE_REQ.1.4С: Свидетельство должно содержать логическое обоснование, что изложение требований доверия к ОО является соответствующим.
    Оценщик должен исследовать "Обоснование требований безопасности", чтобы сделать заключение, достаточно ли логично в нем обосновано то, что изложение требований доверия к безопасности ОО является приемлемым.
    Если требования доверия содержат какой-либо ОУД, то в логическом обосновании допустимо рассматривать выбор конкретного ОУД в целом, а не каждого отдельного компонента данного ОУД. Если подраздел "Требования доверия к безопасности ОО" содержит компоненты, усиливающие выбранный ОУД, оценщик делает заключение, дано ли логическое обоснование каждого такого усиления. Если подраздел "Требования доверия к безопасности ОО" содержит требования доверия, сформулированные в явном виде, оценщик делает заключение, приведено ли логическое обоснование использования каждого сформулированного в явном виде требования доверия.
    Оценщик делает заключение, дано ли в подразделе "Обоснование требований безопасности" достаточно логичное обоснование, что требования доверия достаточны для изложенной среды безопасности и целей безопасности. Например, если требуется защита от хорошо осведомленных нарушителей, то было бы неприемлемым специфицировать компонент AVA_VLA.1 "Анализ уязвимостей разработчиком", который является несвойственным для обнаружения недостатков безопасности, не являющихся очевидными.
    Логическое обоснование может также включать в себя основания, подобные следующим:
    a) специфические требования, установленные конкретной системой оценки, национальным правительством или другими организациями;
    b) требования доверия, которые содержались в зависимостях функциональных требований безопасности ОО;
    c) требования доверия систем и/или продуктов, предназначенных для совместного использования с ОО;
    d) требования потребителей.
    Краткий обзор назначения и целей для каждого ОУД приведен в ИСО/МЭК 15408-3, подраздел 10.2.
    Оценщику необходимо иметь в виду, что заключение о том, являются ли требования доверия приемлемыми, может быть субъективным, а значит, анализ достаточности логического обоснования не следует проводить слишком строго.
    Если подраздел "Требования доверия к безопасности ОО" не содержит какой-либо ОУД, то данный шаг оценивания может быть выполнен совместно с шагом оценивания APE_REQ.1-7.
 

8.3.5.3.9 Шаг оценивания APE_REQ.1-9

 
    ИСО/МЭК 15408-3 APE_REQ.1.5С: ПЗ должен, при необходимости, идентифицировать каждое требование безопасности для среды ИТ.
    Оценщик должен проверить, что в ПЗ, при необходимости, идентифицированы требования безопасности для среды ИТ.
    Если ПЗ не содержит требований безопасности для среды ИТ, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
    Оценщик делает заключение, все ли зависимости ОО от других ИТ в рамках его среды, направленные на обеспечение каких-либо функциональных возможностей безопасности, чтобы достичь целей безопасности для ОО, четко идентифицированы в ПЗ как требования безопасности для среды ИТ.
    Пример требований безопасности для среды ИТ - межсетевой экран полагается на базовую операционную систему в части обеспечения аутентификации администраторов и долговременного хранения данных аудита. В этом случае требования безопасности для среды ИТ обычно содержат компоненты из классов FAU "Аудит безопасности" и FIA "Идентификация и аутентификация".
    Необходимо отметить, что "Требования безопасности для среды ИТ" могут содержать как функциональные требования, так и требования доверия.
    Пример зависимости от среды ИТ - программный криптомодуль, который периодически проверяет свой код и, в случае обнаружения несанкционированной модификации, самоотключается. Для обеспечения возможности восстановления предусмотрено требование FPT_RCV.2 "Автоматическое восстановление". Поскольку криптомодуль не может самостоятельно восстановить свой код после самоотключения, то требование по восстановлению становится требованием к среде ИТ. Одной из зависимостей компонента FPT_RCV.2 "Автоматическое восстановление" является компонент AGD_ADM.1 "Руководство администратора". Следовательно, это требование доверия становится требованием доверия для среды ИТ.
    Оценщику необходимо иметь в виду, что ссылка требований безопасности для среды ИТ на ФБО относится к функциям безопасности среды, а не к функциям безопасности ОО.
 

8.3.5.3.10 Шаг оценивания APE_REQ.1-10

 
    ИСО/МЭК 15408-3 APE_REQ.1.6C: Все завершенные операции над требованиями безопасности ИТ, включенными в ПЗ, должны быть идентифицированы.
    Оценщик должен проверить, что все завершенные операции над требованиями безопасности ИТ идентифицированы.
    Допустимо, чтобы ПЗ содержал элементы с незавершенными операциями, т.е. ПЗ может содержать формулировки функциональных требований безопасности, которые включают в себя незавершенные операции "назначение" или "выбор". Данные операции должны быть впоследствии завершены в ЗБ, отображающем этот ПЗ, что позволяет разработчику ЗБ проявлять большую гибкость при разработке ОО и соответствующего ЗБ, в котором утверждается о соответствии конкретному ПЗ.
    Разрешенными операциями для компонентов по ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3 являются "назначение", "итерация", "выбор" и "уточнение". Операции "назначение" и "выбор" разрешены только в специально обозначенных местах компонента. Операции "итерация" и "уточнение" разрешены для всех компонентов.
    Оценщик делает заключение, все ли операции идентифицированы в каждом компоненте, где они используются. Необходимо, чтобы завершенные и незавершенные операции были идентифицированы таким образом, чтобы они могли быть различимы и было ясно, завершена ли конкретная операция или нет. Идентификация может быть осуществлена либо путем введения типографских различий, либо путем использования явной идентификации в сопроводительном тексте, либо любым другим способом.
 

8.3.5.3.11 Шаг оценивания APE_REQ.1-11

 
    Оценщик должен исследовать изложение раздела "Требования безопасности ИТ", чтобы сделать заключение, корректно ли выполнены операции.
    Оценщику следует иметь в виду, что операции над требованиями безопасности необязательно должны быть выполнены и завершены в ПЗ.
    Оценщик сравнивает каждую формулировку требований в ПЗ с элементом, из которого она получена, чтобы сделать заключение:
    a) для операции "назначение" - выбраны ли значения параметров или переменных в соответствии с указанным типом, требуемым операцией "назначение";
    b) для операции "выбор" - принадлежит ли выбранный пункт или пункты множеству пунктов, указанных во фрагменте "выбор" данного элемента. Оценщик также делает заключение, приемлемо ли число выбранных пунктов для данного требования. Для некоторых требований необходим выбор только одного пункта (например, FAU_GEN.1.1.b), в других случаях приемлем выбор нескольких пунктов (например, вторая операция в FDP_ITT.1.1);
    c) для операции "уточнение" - уточнен ли компонент таким образом, что ОО, удовлетворяющий уточненному требованию, также удовлетворяет и неуточненному требованию. Если уточненное требование выходит за эти рамки, то его считают расширенным требованием.
    Пример: ADV_SPM.1.2C - Модель ПБО должна содержать описание правил и характеристик всех политик ПБО, которые могут быть смоделированы. Уточнение: Модель ПБО должна охватывать только управление доступом. Если политика управления доступом является единственной политикой ПБО, то такое уточнение является правомерным. Если в ПБО также имеются политики идентификации и аутентификации, а уточнение означает, что моделировать следует только управление доступом, то это уточнение не является правомерным.
    Особым случаем уточнения является редакционное уточнение, когда в требование вносят небольшие изменения, а именно переформулирование предложения в соответствии с правилами грамматики. Не допускается, чтобы такое изменение каким-либо образом изменяло смысл требования.
    Пример редакционного уточнения - FAU_ARP.1 с единственным действием. Вместо записи: "ФБО должны предпринять информировать оператора при обнаружении возможного нарушения безопасности" допускается, чтобы разработчик ПЗ написал: "ФБО должны информировать оператора при обнаружении возможного нарушения безопасности".
    Оценщику необходимо иметь в виду, что редакционные уточнения должны быть четко идентифицированы (см. шаг оценивания APE_REQ.1-10);
    d) для операции "итерация" - отличается ли каждая итерация компонента от каждой другой итерации этого компонента (по крайней мере, один элемент одной итерации компонента должен отличаться от соответствующего элемента другой итерации компонента), или что компонент применяется к разным частям ОО.
 

8.3.5.3.12 Шаг оценивания APE_REQ.1-12

 
    ИСО/МЭК 15408-3 APE_REQ.1.7С: Любые незавершенные операции над требованиями безопасности ИТ, включенными в ПЗ, должны быть идентифицированы.
    Оценщик должен исследовать изложение раздела "Требования безопасности ИТ", чтобы сделать заключение, идентифицированы ли все незавершенные операции над требованиями безопасности ИТ, включенными в ПЗ.
    Оценщик делает заключение, все ли операции идентифицированы в каждом компоненте, где такая операция используется. Необходимо, чтобы завершенные и незавершенные операции были идентифицированы таким образом, чтобы они могли быть различимы и было ясно, завершена ли операция или нет.
    Идентификация может быть осуществлена либо путем введения типографских различий, либо путем явной идентификации в сопроводительном тексте, либо любым другим способом.
 

8.3.5.3.13 Шаг оценивания APE_REQ.1-13

 
    ИСО/МЭК 15408-3 APE_REQ.1.8C: Зависимости между требованиями безопасности ИТ, включенными в ПЗ, следует удовлетворить.
    Оценщик должен исследовать изложение раздела "Требования безопасности ИТ", чтобы сделать заключение, удовлетворены ли зависимости, требуемые компонентами, используемыми при изложении раздела "Требования безопасности ИТ".
    Зависимости могут быть удовлетворены включением соответствующего компонента (или компонента, иерархичного по отношению к последнему) в подраздел "Требования безопасности для ОО" или в подраздел "Требования безопасности для среды ИТ".
    Хотя ИСО/МЭК 15408 поддерживает проведение анализа зависимостей путем их включения в описание компонентов требований, сам по себе данный факт не является логическим обоснованием того, что никакие другие зависимости не существуют. Пример существования таких зависимостей: элемент, в который включена ссылка "все объекты" или "все субъекты", может иметь зависимость по отношению к уточнению в другом элементе или наборе элементов, в котором перечислены данные объекты или субъекты.
    Зависимости требований безопасности для среды ИТ следует излагать и удовлетворять в ПЗ.
    Оценщику необходимо иметь в виду, что в соответствии с ИСО/МЭК 15408 не требуется, чтобы все зависимости были удовлетворены: см. следующий шаг оценивания.
 

8.3.5.3.14 Шаг оценивания APE_REQ.1-14

 
    ИСО/МЭК 15408-3 APE_REQ.1.9C: Свидетельство должно содержать логическое обоснование каждого неудовлетворения зависимостей.
    Оценщик должен исследовать "Обоснование требований безопасности", чтобы сделать заключение, содержится ли в нем приемлемое логическое обоснование для каждого случая, когда зависимости требований безопасности не удовлетворены.
    Оценщик с учетом идентифицированных целей безопасности делает заключение, объяснено ли в логическом обосновании, почему удовлетворение зависимости не требуется.
    Оценщик подтверждает, что никакое неудовлетворение зависимости не препятствует тому, чтобы набор требований безопасности адекватно учитывал цели безопасности. Такой анализ проводят в соответствии с APE_REQ.1.13С.
    Пример приемлемого логического обоснования - Для программного ОО имеется цель безопасности следующего содержания: "Случаи неуспешной аутентификации должны быть зарегистрированы с указанием идентификационной информации о пользователе, времени и дате", - и для удовлетворения данной цели безопасности используется функциональное требование на основе компонента FAU_GEN.1 "Генерация данных аудита". Компонент FAU_GEN.1 содержит зависимость от компонента FPT_STM.1 "Надежные метки времени". Так как ОО не имеет встроенных часов, то FPT_STM.1 определяется разработчиком ПЗ как требование безопасности для среды ИТ. Разработчик ПЗ указывает на то, что данное требование не подлежит удовлетворению, приводя следующее логическое обоснование: "В данной конкретной среде существуют возможности проведения атак на механизм меток времени; таким образом, среда может не обеспечить надежные метки времени. Но имеющиеся источники угроз не способны к проведению атак на механизмы меток времени, а другие атаки со стороны этих источников угроз могут быть подвергнуты анализу с регистрацией времени и даты осуществления".
 

8.3.5.3.15 Шаг оценивания APE_REQ.1-15

 
    ИСО/МЭК 15408-3 APE_REQ.1.10С: ПЗ должен включать в себя изложение приемлемого минимального уровня стойкости функций безопасности (СФБ) для функциональных требований безопасности ОО: базовой, средней или высокой СФБ.
    Оценщик должен проверить, включено ли в ПЗ заявление минимального уровня стойкости функции безопасности для функциональных требований безопасности ОО и определен ли этот уровень СФБ как базовый, средний или высокий.
    Если требования доверия к безопасности ОО не включают в себя компонент AVA_SOF.1 "Оценка стойкости функции безопасности ОО", то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
    Стойкость криптографических алгоритмов находится вне области действия ИСО/МЭК 15408. Стойкость функции безопасности применяют только к вероятностным и перестановочным механизмам, которые являются некриптографическими. Следовательно, когда в ПЗ содержится утверждение о минимальном уровне СФБ, оно не применимо к каким бы то ни было криптографическим механизмам, с точки зрения оценки по ИСО/МЭК 15408. Когда такие криптографические механизмы входят в состав ОО, то оценщик делает заключение, представлено ли в ПЗ четкое изложение того, что оценка стойкости криптографических алгоритмов не является частью оценки.
    ОО может состоять из нескольких отдельных доменов, тогда автор ПЗ может посчитать более приемлемым иметь минимальный уровень стойкости функций безопасности для каждого домена, а не иметь один общий минимальный уровень стойкости функций безопасности для всего ОО. В этом случае допускается разделить функциональные требования безопасности ОО на отдельные поднаборы и иметь различные минимальные уровни стойкости функций безопасности, ассоциированные с каждым поднабором.
    Примером этого является распределенная терминальная система, включающая в себя терминалы пользователей, расположенные в общедоступных местах, и терминалы администраторов, расположенные в физически защищенном месте. С требованиями по аутентификации для терминалов пользователей связана средняя СФБ, в то время как с требованиями по аутентификации для терминалов администраторов связана базовая СФБ. Вместо заявления о базовой СФБ как о минимальном уровне СФБ для ОО, что могло бы утвердить потенциальных потребителей ОО во мнении, что провести успешную атаку на механизмы аутентификации на терминалах пользователя относительно несложно, автор ПЗ разделяет ОО на два домена: домен пользователей и домен администраторов; разделяет функциональные требования безопасности ОО на два поднабора, соответствующих выделенным доменам ОО; назначает в качестве минимального уровня СФБ базовую СФБ для поднабора требований, соответствующих домену администраторов, и среднюю СФБ для поднабора требований, соответствующих домену пользователей.
 

8.3.5.3.16 Шаг оценивания APE_REQ.1-16

 
    ИСО/МЭК 15408-3 APE_REQ.1.11С: При изложении требований безопасности должны быть идентифицированы все функциональные требования безопасности, для которых требуется явное заявление стойкости функции, с явным заявлением стойкости функции для каждого такого функционального требования безопасности.
    Оценщик должен проверить, что в ПЗ идентифицированы все конкретные функциональные требования безопасности ОО, для которых целесообразна заявленная в явном виде стойкость функции безопасности вместе с конкретной метрикой.
    Если подраздел "Требования доверия к безопасности ОО" не содержит компонент AVA_SОF.1 "Оценка стойкости функции безопасности ОО", то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
    Заявленной в явном виде стойкостью функции безопасности может быть "базовая СФБ", "средняя СФБ", "высокая СФБ" или заданная специфическая метрика. Когда используется специфическая метрика, оценщик делает заключение, является ли она приемлемой для конкретного типа функциональных требований и имеется ли возможность оценки утверждений о СФБ, выраженных в данной метрике. Данный шаг оценивания относится к тому случаю, когда автор ПЗ требует определить конкретные требования СФБ (т.е. выше, чем общее требование к СФБ в ПЗ) или - конкретную метрику СФБ. Конкретные требования к СФБ для функциональных требований безопасности ОО могут быть определены автором ПЗ. При отсутствии каких-либо конкретных требований к СФБ общее требование к СФБ в ПЗ применяют ко всем функциональным требованиям безопасности ОО, изложенным в ПЗ. Оценщику следует удостовериться, что наличие или отсутствие требований к СФБ, сформулированных в явном виде, согласовано с другими частями данного ПЗ.
    Потенциально в ПЗ определения требований к СФБ могут варьироваться. В ПЗ может иметься общее требование к СФБ, кроме того, в рамках ПЗ для конкретных функциональных требований безопасности ОО могут иметься требования к СФБ, определенные специально для этих функциональных требований.
    Дальнейшие указания по приемлемости и допустимости метрик стойкости функций безопасности могут быть представлены конкретной системой оценки.
 

8.3.5.3.17 Шаг оценивания APE_REQ.1-17

 
    ИСО/МЭК 15408-3 APE_REQ.1.12С: Обоснование требований безопасности должно демонстрировать, что минимальный уровень стойкости функции в ПЗ, как и каждое явное указание стойкости функции, согласуются с целями безопасности ОО.
    Оценщик должен исследовать "Обоснование требований безопасности", чтобы сделать заключение, демонстрирует ли оно согласованность минимального уровня стойкости функций, а также каждой заявленной в явном виде стойкости функции с целями безопасности для ОО.
    Если в подраздел "Требования доверия к безопасности ОО" не включен компонент AVA_SOF.1, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
    Оценщик делает заключение, учтены ли в подразделе "Обоснование требований безопасности" детали, имеющие отношение к предполагаемой компетентности, ресурсам и мотивации нарушителей, описанные в разделе "Среда безопасности ОО". Например, утверждение о базовой СФБ неприемлемо, если требуется, чтобы ОО обеспечил защиту от нарушителей, обладающих высоким потенциалом нападения.
    Оценщик также делает заключение, учтены ли в подразделе "Обоснование требований безопасности" все специфические, связанные со стойкостью функций безопасности, характеристики целей безопасности. Оценщик может использовать прослеживание от требований к целям безопасности, чтобы сделать заключение, что требования, прослеженные к целям безопасности со специфическими, связанными со стойкостью функций безопасности, характеристиками, при необходимости, включают в себя соответствующее утверждение о стойкости связанных с этими требованиями функций безопасности.
 

8.3.5.3.18 Шаг оценивания APE_REQ.1-18

 
    ИСО/МЭК 15408-3 APE_REQ.1.13С: Обоснование требований безопасности должно демонстрировать, что требования безопасности ИТ пригодны для достижения целей безопасности.
    Оценщик должен исследовать подраздел "Обоснование требований безопасности", чтобы сделать заключение, прослежены ли требования безопасности ОО к целям безопасности для ОО.
    Оценщик делает заключение, прослежено ли каждое функциональное требование безопасности ОО по крайней мере к одной цели безопасности для ОО.
    Неудача при попытке такого прослеживания означает, что-либо подраздел "Обоснование требований безопасности" является неполным, либо раздел "Цели безопасности" является неполным, либо функциональное требование безопасности ОО является бесполезным.
    Допустимо также, но необязательно, прослеживание отдельных или всех требований доверия к безопасности ОО к целям безопасности для ОО.
    Пример прослеживания требования доверия к безопасности ОО к цели безопасности для ОО - ПЗ, содержащий угрозу: "Пользователь непреднамеренно раскрывает информацию, используя изделие, которое он принимает за ОО" и цель безопасности для ОО для противостояния данной угрозе: "ОО должен быть четко помечен соответствующим номером версии". Изложенная цель безопасности для ОО может быть достигнута путем выполнения требований компонента АСМ_САР.1 "Номера версий", и поэтому разработчик ПЗ прослеживает данный компонент к рассматриваемой цели безопасности для ОО.
 

8.3.5.3.19 Шаг оценивания APE_REQ.1-19

 
    Оценщик должен исследовать подраздел "Обоснование требований безопасности", чтобы сделать заключение, прослежены ли требования безопасности для среды ИТ к целям безопасности для среды.
    Оценщик делает заключение, прослежено ли каждое функциональное требование безопасности для среды ИТ по крайней мере к одной цели безопасности для среды.
    Неудача при попытке такого прослеживания означает, что либо подраздел "Обоснование требований безопасности" является неполным, либо подраздел "Цели безопасности для среды" является неполным, либо функциональное требование безопасности для среды ИТ является бесполезным.
    Допустимо также, но необязательно, для некоторых или всех требований доверия к безопасности для среды ИТ прослеживание к целям безопасности для среды.
 

8.3.5.3.20 Шаг оценивания APE_REQ.1-20

 
    Оценщик должен исследовать подраздел "Обоснование требований безопасности", чтобы сделать заключение, содержится ли в нем для каждой цели безопасности для ОО приемлемое логическое обоснование того, что требования безопасности ОО пригодны для удовлетворения данной цели безопасности для ОО.
    Если никакие требования безопасности ОО не прослежены к конкретной цели безопасности для ОО, то результат данного шага оценивания отрицательный.
    Оценщик делает заключение, демонстрирует ли логическое обоснование для цели безопасности для ОО, что если все требования безопасности ОО, прослеженные к данной цели, удовлетворены, то цель безопасности для ОО достигнута.
    Оценщик также делает заключение, действительно ли каждое требование безопасности ОО, прослеженное к цели безопасности для ОО, будучи удовлетворенным, вносит вклад в достижение данной цели безопасности.
    Несмотря на то, что прослеживание от требований безопасности ОО к целям безопасности для ОО, представленное в подразделе "Обоснование требований безопасности", может быть частью логического обоснования, само по себе оно не является логическим обоснованием.
 

8.3.5.3.21 Шаг оценивания APE_REQ.1-21

 
    Оценщик должен исследовать подраздел "Обоснование требований безопасности", чтобы сделать заключение, содержит ли он для каждой цели безопасности для среды ИТ приемлемое логическое обоснование, что требования безопасности для среды ИТ пригодны для удовлетворения данной цели безопасности для среды ИТ.
    Если никакие требования безопасности для среды ИТ не прослежены к конкретной цели безопасности для среды ИТ, то результат данного шага оценивания отрицательный.
    Оценщик делает заключение, демонстрирует ли логическое обоснование для цели безопасности для среды, что если все требования безопасности для среды ИТ, прослеженные к данной цели безопасности для среды ИТ, удовлетворены, то цель безопасности для среды ИТ достигнута.
    Оценщик также делает заключение, действительно ли каждое требование безопасности для среды ИТ, прослеженное к цели безопасности для среды ИТ, будучи удовлетворенным, вносит вклад в достижение данной цели безопасности.
    Несмотря на то, что прослеживание требований безопасности для среды ИТ к целям безопасности для среды ИТ, представленное в подразделе "Обоснование требований безопасности", может быть частью логического обоснования, само по себе оно не является логическим обоснованием.
 

8.3.5.3.22 Шаг оценивания APE_REQ.1-22

 
    ИСО/МЭК 15408-3 APE_REQ.1.14С: Обоснование требований безопасности должно демонстрировать, что совокупность требований безопасности ИТ образует взаимно согласованное и внутренне непротиворечивое целое.
    Оценщик должен исследовать подраздел "Обоснование требований безопасности", чтобы сделать заключение, демонстрирует ли он внутреннюю непротиворечивость совокупности требований безопасности ИТ.
    Оценщик делает заключение, что во всех случаях, когда различные требования безопасности ИТ имеют отношение к одним и тем же типам событий, операций, данных, тестов, подлежащих выполнению, и т.д. и данные требования могут вступать в противоречие друг с другом, приведено приемлемое логическое обоснование отсутствия таких противоречий.
    Например, если ПЗ содержит требования, связанные как с индивидуальной подотчетностью пользователей, так и с их анонимностью, необходимо, чтобы было показано, что данные требования не противоречат друг другу. Сюда может входить показ того, что ни одно из подлежащих аудиту событий, для которых требуется индивидуальная подотчетность пользователей, не имеет отношения к действиям, для которых требуется анонимность пользователей.
    Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).
 

8.3.5.3.23 Шаг оценивания APE_REQ.1-23

 
    Оценщик должен исследовать подраздел "Обоснование требований безопасности", чтобы сделать заключение, демонстрирует ли он, что совокупность требований безопасности ИТ образует взаимно поддерживающее целое.
    Данный шаг оценивания основан на заключениях, сделанных в ходе выполнения шагов оценивания APE_REQ.1-18 и APE_REQ.1-19, связанных с исследованием прослеживания от требований безопасности ИТ к целям безопасности, и шагов оценивания APE_REQ.1-20 и APE_REQ.1-21, связанных с исследованием пригодности требований безопасности ИТ для удовлетворения целей безопасности. Данный шаг оценивания требует от оценщика рассмотреть возможность фактического недостижения какой-либо цели безопасности из-за недостаточной поддержки со стороны других требований безопасности ИТ.
    Данный шаг оценивания основан также на анализе зависимостей, выполняемом на предыдущих шагах оценивания, поскольку если функциональное требование А имеет зависимость от функционального требования В, то В поддерживает А по определению.
    Оценщик делает заключение, демонстрирует ли подраздел "Обоснование требований безопасности" поддержку функциональными требованиями друг друга, где необходимо, даже когда нет явного указания на наличие зависимостей между этими требованиями. Предполагается, что такая демонстрация охватывает те функциональные требования безопасности, которые направлены:
    a) на предотвращение обхода механизмов, реализующих другие функциональные требования безопасности, такие, например, как FPT_RVM.1 "Невозможность обхода ПБО";
    b) на предотвращение вмешательства в работу механизмов, реализующих другие функциональные требования безопасности, такие, например, как FPT_SEP "Разделение домена";
    c) на предотвращение деактивации механизмов, реализующих другие функциональные требования безопасности, такие, например, как FMT_MOF.1 "Управление режимом выполнения функций безопасности";
    d) на обеспечение обнаружения нападений (атак), направленных на нарушение работы механизмов, реализующих другие функциональные требования безопасности, такие, например, как компоненты класса FAU "Аудит безопасности".
    В своем анализе оценщик учитывает результаты выполненных операций, чтобы сделать заключение, затрагивают ли они взаимную поддержку требованиями друг друга.
 

8.3.5.4 Действие APE_REQ.1.2E

 

8.3.5.4.1 Шаг оценивания APE_REQ.1-24

 
    Оценщик должен исследовать изложение раздела "Требования безопасности ИТ", чтобы сделать заключение, является ли оно логически упорядоченным.
    Изложение требований безопасности ИТ является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. оценщикам и потребителям).
 

8.3.5.4.2 Шаг оценивания APE_REQ.1-25

 
    Оценщик должен исследовать изложение раздела "Требования безопасности ИТ", чтобы сделать заключение, является ли оно полным.
    При выполнении данного шага оценивания используют результаты шагов оценивания, выполняемых в соответствии с требованиями APE_REQ.1.1Е и APE_SRE.1.1Е, и в особенности - результаты исследования оценщиком подраздела "Обоснование требований безопасности".
    Изложение раздела "Требования безопасности ИТ" является полным, если оценщик считает требования безопасности достаточными для того, чтобы удостовериться, что все цели безопасности для ОО удовлетворены.
 

8.3.5.4.3 Шаг оценивания APE_REQ.1-26

 
    Оценщик должен исследовать изложение раздела "Требования безопасности ИТ", чтобы сделать заключение, является ли оно внутренне непротиворечивым.
    При выполнении данного шага оценивания используют результаты шагов оценивания, выполняемых в соответствии с требованиями APE_REQ.1.1Е и APE_SRE.1.1Е, и в особенности - результаты исследования оценщиком подраздела "Обоснование требований безопасности".
    Изложение раздела "Требования безопасности ИТ" является внутренне непротиворечивым, если оценщик делает заключение, что ни одно требование безопасности не противоречит любому другому требованию безопасности таким образом, что цель безопасности не будет полностью удовлетворена.
    Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).
 

8.3.6 Оценка требований безопасности ИТ, сформулированных в явном виде (APE_SRE.1)

 

8.3.6.1 Цели

 
    Цель данного подвида деятельности - сделать заключение, являются ли функциональные требования и/или требования доверия к безопасности, сформулированные без ссылки на ИСО/МЭК 15408, приемлемыми и адекватными.
 

8.3.6.2 Исходные данные

 
    Свидетельством оценки для этого подвида деятельности является ПЗ.
 

8.3.6.3 Замечания по применению

 
    Этот пункт применяют только в случае, если в ПЗ содержатся требования безопасности, сформулированные в явном виде без ссылки на ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3. В противном случае все шаги оценивания, описанные в данном пункте, не применяют и поэтому считают удовлетворенными.
    Требования семейства APE_SRE "Требования безопасности ИТ, сформулированные в явном виде" не заменяют требования семейства APE_REQ "Требования безопасности ИТ", а являются дополнительными к ним. Это означает, что требования безопасности, сформулированные в явном виде без ссылки на ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3, должны быть оценены на соответствие критериям семейства APE_SRE, а также в сочетании со всеми остальными требованиями безопасности - на соответствие критериям семейства APE_REQ.
 

8.3.6.4 Действие APE_SRE.1.1Е

 

8.3.6.4.1 Шаг оценивания APE_SRE.1-1

 
    ИСО/МЭК 15408-3 APE_SRE.1.1С: Все требования безопасности ОО, которые сформулированы в явном виде без ссылки на ИСО/МЭК 15408, должны быть идентифицированы.
    Оценщик должен проверить, что в изложении раздела "Требования безопасности ИТ" идентифицированы все требования безопасности ОО, которые сформулированы в явном виде без ссылки на ИСО/МЭК 15408.
    Необходимо, чтобы все функциональные требования безопасности ОО, которые не специфицированы на основе функциональных компонентов из ИСО/МЭК 15408-2, были четко идентифицированы как таковые. Аналогично необходимо, чтобы все требования доверия к безопасности ОО, которые не специфицированы на основе компонентов доверия из ИСО/МЭК 15408-3, были четко идентифицированы как таковые.
 

8.3.6.4.2 Шаг оценивания APE_SRE.1-2

 
    ИСО/МЭК 15408-3 APE_SRE.1.2С: Все требования безопасности для среды ИТ, которые сформулированы в явном виде без ссылки на ИСО/МЭК 15408, должны быть идентифицированы.
    Оценщик должен проверить, что в изложении раздела "Требования безопасности ИТ" идентифицированы все требования безопасности для среды ИТ, которые сформулированы в явном виде без ссылки на ИСО/МЭК 15408.
    Необходимо, чтобы все функциональные требования безопасности для среды ИТ, которые не специфицированы на основе функциональных компонентов из ИСО/МЭК 15408-2, были четко идентифицированы как таковые. Аналогично необходимо, чтобы все требования доверия к среде ИТ, которые не специфицированы на основе компонентов доверия по ИСО/МЭК 15408-3, были четко идентифицированы как таковые.
 

8.3.6.4.3 Шаг оценивания APE_SRE.1-3

 
    ИСО/МЭК 15408-3 APE_SRE.1.3C: Свидетельство должно содержать логическое обоснование, почему требования безопасности должны быть сформулированы в явном виде.
    Оценщик должен исследовать "Обоснование требований безопасности", чтобы сделать заключение, содержится ли в нем приемлемое логическое обоснование, почему каждое из сформулированных в явном виде требований безопасности пришлось сформулировать в явном виде.
    Оценщик для каждого сформулированного в явном виде требования безопасности ИТ делает заключение, объяснено ли в логическом обосновании, почему существующие функциональные компоненты или компоненты доверия (из ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3 соответственно) не могли быть использованы для выражения требований безопасности, сформулированных в явном виде. При вынесении заключения оценщик принимает во внимание возможность выполнения операций (т.е. назначение, итерация, выбор и уточнение) над этими существующими компонентами.
 

8.3.6.4.4 Шаг оценивания APE_SRE.1-4

 
    ИСО/МЭК 15408-3 APE_SRE.1.4С: Сформулированные в явном виде требования безопасности ИТ должны использовать компоненты, семейства и классы требований ИСО/МЭК 15408 как образец для представления.
    Оценщик должен исследовать каждое сформулированное в явном виде требование безопасности ИТ, чтобы сделать заключение, использованы ли для этого требования в качестве модели для представления компоненты, семейства и классы требований по ИСО/МЭК 15408.
    Оценщик делает заключение, представлены ли сформулированные в явном виде требования безопасности ИТ в том же стиле и на сопоставимом уровне детализации, что и компоненты из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3. Оценщик также делает заключение, разделены ли функциональные требования на отдельные функциональные элементы и определяют ли требования доверия элементы действий разработчика, содержания и представления свидетельств, а также действий оценщика.
 

8.3.6.4.5 Шаг оценивания APE_SRE.1-5

 
    ИСО/МЭК 15408-3 APE_SRE.1.5С: Сформулированные в явном виде требования безопасности ИТ должны быть измеримы и устанавливать объективные требования оценки, такие, чтобы соответствие или несоответствие им ОО могло быть определено и последовательно продемонстрировано.
    Оценщик должен исследовать каждое сформулированное в явном виде требование безопасности ИТ, чтобы сделать заключение, измеримо ли оно и устанавливает ли объективные требования оценки такие, что соответствие или несоответствие им ОО может быть определено и продемонстрировано систематическим методом.
    Оценщик делает заключение, изложены ли функциональные требования таким образом, что они тестируемы и прослеживаемы к соответствующим представлениям ФБО. Оценщик также делает заключение, что требования доверия не приводят к необходимости вынесения о них субъективного суждения со стороны оценщика.
    Имеющиеся в ИСО/МЭК 15408 функциональные требования и требования доверия должны быть использованы как образец.
 

8.3.6.4.6 Шаг оценивания APE_SRE.1-6

 
    ИСО/МЭК 15408-3 APE_SRE.1.6С: Сформулированные в явном виде требования безопасности ИТ должны быть четко и недвусмысленно выражены.
    Оценщик должен исследовать каждое сформулированное в явном виде требование безопасности ИТ, чтобы сделать заключение, выражено ли оно четко и однозначно.
    Имеющиеся в ИСО/МЭК 15408 функциональные требования и требования доверия должны быть использованы как образец.
 

8.3.6.4.7 Шаг оценивания APE_SRE.1-7

 
    ИСО/МЭК 15408-3 APE_SRE.1.7C: Обоснование требований безопасности должно демонстрировать, что требования доверия применимы и пригодны для поддержки каждого из сформулированных в явном виде функциональных требований безопасности ОО.
    Оценщик должен исследовать "Обоснование требований безопасности", чтобы сделать заключение, демонстрирует ли оно, что требования доверия применимы и приемлемы для поддержки любых сформулированных в явном виде функциональных требований безопасности ОО.
    Оценщик делает заключение, приведет ли применение специфицированных требований доверия к получению значимого результата оценки для каждого сформулированного в явном виде функционального требования безопасности или следует специфицировать какие-либо другие требования доверия. Например, сформулированное в явном виде функциональное требование может предполагать потребность в конкретном документальном свидетельстве (таком, например, как модель ПБО), конкретной глубине тестирования или конкретном анализе (таком, как анализ стойкости функций безопасности ОО или анализ скрытых каналов).
 

8.3.6.5 Действие APE_SRE.1.2Е

 

8.3.6.5.1 Шаг оценивания APE_SRE.1-8

 
    Оценщик должен исследовать изложение раздела "Требования безопасности ИТ", чтобы сделать заключение, все ли зависимости сформулированных в явном виде требований безопасности ИТ были идентифицированы.
    Оценщик подтверждает, что никакие подлежащие удовлетворению зависимости не были пропущены разработчиком ПЗ.
    Примеры возможных зависимостей: компоненты класса FAU "Аудит безопасности", если в сформулированном в явном виде функциональном требовании упоминается аудит; компоненты семейства ADV_IMP "Представление реализации", если в сформулированном в явном виде требовании доверия упоминается исходный код или представление реализации ОО.
 

9 Оценка задания по безопасности

 

9.1 Введение

 
    Настоящий раздел описывает оценку ЗБ. Оценка ЗБ начинается до выполнения каких-либо других подвидов деятельности по оценке ОО, так как ЗБ является основой и определяет условия выполнения данных подвидов деятельности. Окончательный вердикт по результатам оценки ЗБ не может быть вынесен до завершения оценки ОО, так как по результатам выполнения подвидов деятельности по оценке ОО в ЗБ могут быть внесены изменения.
    Требования и методология оценки ЗБ идентичны для каждой оценки ЗБ независимо от ОУД (или другой совокупности критериев доверия), заявленного в ЗБ. В то время как последующие разделы настоящего стандарта ориентированы на проведение оценки по конкретным ОУД, настоящий раздел применим к любому ЗБ, подвергаемому оценке.
    Методология оценки в настоящем разделе основана на требованиях к ЗБ, определенных в ИСО/МЭК 15408-1, приложение В и классе ASE "Оценка задания по безопасности" ИСО/МЭК 15408-3.
 

9.2 Организация оценки ЗБ

 
    Виды деятельности по проведению полной оценки ЗБ охватывают следующее:
    a) задачу получения исходных данных для оценки (раздел 7);
    b) вид деятельности по оценке ЗБ, включающий в себя следующие подвиды деятельности:
    1) оценку раздела "Описание ОО" (9.3.1);
    2) оценку раздела "Среда безопасности ОО" (9.3.2);
    3) оценку раздела "Введение ЗБ" (9.3.3);
    4) оценку раздела "Цели безопасности" (9.3.4);
    5) оценку раздела "Утверждения о соответствии ПЗ" (9.3.5);
    6) оценку раздела "Требования безопасности ИТ" (9.3.6);
    7) оценку сформулированных в явном виде требований безопасности ИТ (9.3.7);
    8) оценку раздела "Краткая спецификация ОО" (9.3.8);
    c) задачу оформления результатов оценки (раздел 7).
    Задачи получения исходных данных для оценки и оформления результатов оценки описаны в разделе 7. Подвиды деятельности по оценке вытекают из требований доверия класса ASE, содержащихся в ИСО/МЭК 15408-3.
    В настоящем разделе описаны подвиды деятельности, включенные в оценку ЗБ. Хотя подвиды деятельности могут начинаться более или менее случайно, некоторые зависимости между подвидами деятельности должны быть учтены оценщиком. Руководство по учету зависимостей см. в А.4 "Зависимости" (приложение А).
    Необходимость выполнения подвидов деятельности по оценке утверждений о соответствии ПЗ и по оценке сформулированных в явном виде требований безопасности ИТ не является постоянной: подвид деятельности по оценке утверждений о соответствии ПЗ выполняют только тогда, когда имеет место утверждение о соответствии ПЗ, а подвид деятельности по оценке сформулированных в явном виде требований безопасности ИТ выполняют только тогда, когда в изложение требований безопасности ИТ включены требования безопасности, взятые не из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3.
    Некоторая информация, подлежащая включению в ЗБ, может быть представлена соответствующей ссылкой. Например, если в ЗБ утверждают о соответствии некоторому ПЗ, то такую информацию из ПЗ, как описание среды и угроз, можно рассматривать как часть ЗБ и предполагать, что она соответствует критериям для ЗБ.
    Если в ЗБ утверждают о соответствии оцененному ПЗ и ЗБ в значительной степени основано на содержании этого ПЗ, то допускается повторное использование результатов оценки ПЗ при выполнении многих из перечисленных выше подвидов деятельности. В частности, повторное использование возможно при оценке изложения среды безопасности, целей безопасности и требований безопасности ИТ. В ЗБ допускается утверждение о соответствии нескольким ПЗ.
 

9.3 Вид деятельности "Оценка задания по безопасности"

 

9.3.1 Оценка раздела "Описание ОО" (ASE_DES.1)

 

9.3.1.1 Цели

 
    Цель данного подвида деятельности - сделать заключение, содержит ли "Описание ОО" соответствующую для понимания назначения ОО и его функциональных возможностей информацию, а также является ли описание ОО полным и непротиворечивым.
 

9.3.1.2 Исходные данные

 
    Свидетельством оценки для этого подвида деятельности является ЗБ.
 

9.3.1.3 Замечания по применению

 
    Между ОО и продуктом, который может приобрести потребитель, могут существовать некоторые отличия. Материалы по данному вопросу представлены в А.6 "Границы ОО" (приложение А).
 

9.3.1.4 Действие ASE_DES.1.1Е

 

9.3.1.4.1 Шаг оценивания ASE_DES.1-1

 
    ИСО/МЭК 15408-3 ASE_DES.1.1С: Описание ОО должно включать в себя тип продукта или системы, область применения ОО, а также физические и логические границы ОО.
    Оценщик должен исследовать раздел "Описание ОО", чтобы сделать заключение, описан ли в нем тип продукта или системы для ОО.
    Оценщик делает заключение, достаточно ли "Описание ОО" для общего понимания предполагаемого использования продукта или системы и обеспечивает ли, таким образом, контекст оценки. Примерами некоторых типов продуктов и систем являются: межсетевой экран, смарт-карта, криптомодем, веб-сервер, интрасеть.
    Существуют ситуации, когда является очевидным, что у ОО ожидается наличие некоторых функциональных возможностей, определяемых типом продукта или системы. Если эти функциональные возможности отсутствуют, то оценщик делает заключение, адекватно ли это отсутствие рассмотрено в разделе "Описание ОО". Примером этого является ОО типа "межсетевой экран", в "Описании ОО" которого изложено, что он не может быть подключен к сетям.
 

9.3.1.4.2 Шаг оценивания ASE_DES.1-2

 
    лючение, рассмотрены ли в разделе "Описание ОО" аппаратные, программно-аппаратные и программные компоненты и/или модули, которые составляют ОО, на том уровне детализации, который достаточен для общего понимания этих компонентов и/или модулей.
    Если ОО не тождествен продукту, то оценщик делает заключение, описано ли надлежащим образом в "Описании ОО" физическое соотношение между ОО и продуктом.
 

9.3.1.4.3 Шаг оценивания ASE_DES.1-3

 
    Оценщик должен исследовать "Описание ОО", чтобы сделать заключение, описаны ли в нем в общих чертах логическая область применения и границы ОО.
    Оценщик делает заключение, рассмотрены ли в разделе "Описание ОО" ИТ-характеристики, и в особенности характеристики безопасности, предоставляемые ОО, на таком уровне детализации, который достаточен для общего понимания этих характеристик.
    Если ОО не тождествен продукту, то оценщик делает заключение, описано ли надлежащим образом в "Описании ОО" логическое соотношение между ОО и продуктом.
 

9.3.1.5 Действие ASE_DES.1.2Е

 

9.3.1.5.1 Шаг оценивания ASE_DES.1-4

 
    Оценщик должен исследовать ЗБ, чтобы сделать заключение, является ли "Описание ОО" логически упорядоченным.
    Изложение раздела "Описание ОО" является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. оценщикам и потребителям).
 

9.3.1.5.2 Шаг оценивания ASE_DES.1-5

 
    Оценщик должен исследовать ЗБ, чтобы сделать заключение, является ли "Описание ОО" внутренне непротиворечивым.
    Оценщику необходимо иметь в виду, что данный раздел ЗБ предназначен только для того, чтобы определить общее назначение ОО.
    Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).
 

9.3.1.6 Действие ASE_DES.1.3Е

 

9.3.1.6.1 Шаг оценивания ASE_DES.1-6

 
    Оценщик должен исследовать ЗБ, чтобы сделать заключение, согласовано ли "Описание ОО" с другими частям ЗБ.
    Оценщик делает заключение, в частности, что в разделе "Описание ОО" не описаны угрозы, характеристики безопасности или конфигурации ОО, которые не рассмотрены в каком-либо другом месте ЗБ.